Rilevamento del Malware BatLoader: Downloader Evasivo in Crescita
Indice:
Esperti di sicurezza avvertono del famigerato malware furtivo noto come BatLoader, che ha infettato sempre più istanze in tutto il mondo negli ultimi mesi. La minaccia famigerata agisce come un downloader di malware, rilasciando una varietà di payload dannosi sui sistemi delle vittime. Durante le ultime campagne, BatLoader è stato osservato nel distribuire Trojan bancari, campioni di ransomware, stealer di informazioni, e il toolkit di post-exploitation Cobalt Strike.
In particolare, BatLoader ottiene un insieme di caratteristiche di evasione della rilevazione che permettono alla minaccia di passare inosservata. Si basa fortemente su script batch e PowerShell per impedire ai professionisti della sicurezza informatica di rilevare e bloccare le campagne dannose. La sofisticata routine di attacco condivide diverse somiglianze con ransomware Conti and Trojan bancario Zloader.
Rilevare l’Esecuzione di Malware BatLoader
Con gli operatori del malware BatLoader che costantemente aggiungono nuovi trucchi di evasione alle loro capacità offensive, i difensori informatici stanno cercando nuovi modi per identificare tempestivamente un’infezione nell’infrastruttura dell’organizzazione. La piattaforma più grande e avanzata del mondo per la difesa collettiva informatica di SOC Prime cura nuove regole Sigma per rilevare BatLoader. Entrambe le rilevazioni, realizzate dai nostri esperti sviluppatori di Threat Bounty, Osman Demir and Sittikorn Sangrattanapitak, sono mappate al framework MITRE ATT&CK® e sono compatibili con le soluzioni leader del settore SIEM, EDR, BDP e XDR. Segui i link qui sotto per ottenere istantaneamente accesso alle rilevazioni Sigma rilevanti e immergerti nel loro contesto di minaccia informatica:
Esecuzione Sospetta di Malware BatLoader tramite Utilizzo di Powershell (via cmdline)
Questa regola Sigma sviluppata da Osman Demir rileva l’esecuzione del malware BatLoader tramite un comando Powershell dannoso. La rilevazione è relativa alla tattica di Esecuzione con la corrispondente tecnica di Comando e Interprete di Script (T1059).
Probabile Esecuzione di Malware BatLoader tramite lo Strumento Gpg4Win (via creazione di processo)
Il contenuto sopra menzionato, realizzato da Sittikorn Sangrattanapitak, rileva il deployment di Gpg4win per decifrare i payload dannosi tramite il malware BatLoader. Questa regola Sigma affronta la tattica di Esecuzione con l’Esecuzione Utente (T1204) e il Comando e Interprete di Script (T1059) utilizzati come tecniche principali.
Sia i cacciatori di minacce esperti che quelli in erba e gli ingegneri di rilevazione desiderosi di affinare le loro competenze Sigma e ATT&CK e aiutare gli altri a difendersi dalle minacce emergenti possono entrare nel SOC Prime Threat Bounty Program. Partecipando a questa iniziativa di crowdsourcing, gli esperti di sicurezza informatica possono scrivere le proprie regole Sigma mappate a ATT&CK, condividerle con la comunità globale dei difensori informatici e ricevere pagamenti ricorrenti per i contributi.
Per raggiungere istantaneamente le regole Sigma per la rilevazione di BatLoader, basta cliccare il pulsante Esplora Rilevazioni . Approfondisci il contesto di minaccia informatica completo, inclusi i riferimenti MITRE ATT&CK, l’intelligence delle minacce, i binari eseguibili e le mitigazioni per una ricerca delle minacce più efficiente.
Analisi di BatLoader
Inizialmente rivelato e analizzato da Mandiant nel febbraio 2022, BatLoader continua ad evolversi, il che rappresenta una minaccia significativa per i professionisti della sicurezza informatica.
L’ultima indagine di VMware Carbon Black rivela che il malware BatLoader sfrutta una serie di funzioni sofisticate per infettare furtivamente le vittime ignare e distribuire payload di secondo livello sui loro dispositivi. Tra le ultime vittime di BatLoader ci sono organizzazioni nei settori dei servizi aziendali, della finanza, della manifattura, dell’istruzione, della vendita al dettaglio, dell’IT e della sanità .
Principalmente, gli operatori di BatLoader si affidano all’avvelenamento SEO (search engine optimization) per reindirizzare le vittime a siti web falsi e spingerle a scaricare il malware. Ad esempio, in una delle ultime campagne BatLoader le vittime sono state attirate a visitare pagine di download false per software popolari, come LogMeIn, Zoom, TeamViewer e AnyDesk. Gli operatori di malware hanno spinto i link a quelle pagine web dannose tramite annunci falsi mostrati attivamente nei risultati dei motori di ricerca. L’utilizzo di binari comuni al sistema operativo rende la rilevazione e il blocco della campagna un compito impegnativo, specialmente nelle fasi iniziali dello sviluppo dell’attacco.
Dopo l’infezione, BatLoader si affida a script batch e PowerShell per ottenere un punto d’appoggio iniziale nella rete della vittima. In particolare, BatLoader ha una logica incorporata che permette al malware di identificare se la macchina bersaglio è aziendale o personale e di rilasciare i payload di secondo livello corrispondenti in ciascun caso. Per gli ambienti aziendali, BatLoader di solito applica strumenti di intrusione, come Cobalt Strike e l’utilità di monitoraggio e gestione remota Syncro, mentre se il malware si trova su un computer personale, procede con il furto di informazioni e payload di Trojan bancario.
In particolare, le campagne BatLoader sono osservate condividere alcune somiglianze con altri famigerati campioni dannosi, compresi il ransomware Conti e il Trojan bancario Zloader. Le sovrapposizioni con Conti includono l’utilizzo degli stessi indirizzi IP applicati da Conti per le sue campagne Log4j e l’uso di un tool di gestione remota, Atera. E con Zloader, il malware condivide gli stessi trucchi di infezione, principalmente l’uso di tecniche di avvelenamento SEO, script PowerShell e batch e altri binari nativi del sistema operativo.
Anticipa gli attaccanti e rileva proattivamente le minacce famigerate con regole Sigma curate nella Piattaforma SOC Prime. Le rilevazioni per le minacce attuali ed emergenti sono a portata di mano! Scopri di più su https://socprime.com/.
