Trojan AZORult Utilizzato in Attacchi Mirati

[post-views]
Ottobre 07, 2020 · 2 min di lettura
Trojan AZORult Utilizzato in Attacchi Mirati

La settimana scorsa, i ricercatori di Zscaler ThreatLabZ hanno rilasciato un rapporto su una campagna massiccia che ha preso di mira il settore della catena di approvvigionamento e i settori governativi in Medio Oriente. I criminali informatici hanno inviato email di phishing fingendosi dipendenti della Abu Dhabi National Oil Company (ADNOC) che hanno infettato i bersagli con il trojan AZORult.

Campagna Mirata alle organizzazioni in Medio Oriente

Gli avversari hanno visto un’opportunità per utilizzare contratti terminati da ADNOC in aprile come diversivo, mentre sono in corso negoziazioni attive e la conclusione di nuovi contratti.

La campagna è iniziata a luglio, e diverse organizzazioni legate alla catena di approvvigionamento nel settore del petrolio e del gas hanno ricevuto email di phishing con file PDF dall’aspetto legittimo contenenti link a servizi di condivisione file legittimi che ospitavano archivi ZIP dannosi. L’archivio contiene un dropper che scarica e installa il trojan AZORult sulla macchina bersaglio.

AZORult è un malware commerciale noto da oltre 4 anni, quindi è difficile attribuire questa campagna ad attori di minacce conosciuti. Il trojan ha funzionalità di furto di informazioni e ha anche la capacità di installare strumenti aggiuntivi e creare un account amministratore nascosto che consente connessioni RDP al sistema infetto.

Rilevamento del Trojan AZORult

Nuova regola Sigma per la caccia alle minacce rilasciata da Osman Demir abilita le soluzioni di sicurezza a trovare tracce del trojan AZORult distribuito durante la campagna mirata: https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Evasione delle difese, Persistenza

Tecniche: Rimozione degli Indicatori sull’Host (T1070), Chiavi di Esecuzione del Registro/Cartella di Avvio (T1060)

Trova più contenuti di rilevamento per scoprire il malware AZORult e dropper correlati su Threat Detection Marketplace.

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la community TDM.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Telychko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Telychko
Tutte le notizie