Contenuto di Rilevamento: Himera Loader

Il post di oggi è dedicato al malware loader Himera che gli avversari hanno utilizzato nelle campagne di phishing legate al COVID-19 dallo scorso mese. I criminali informatici continuano a sfruttare le richieste dell’Family and Medical Leave Act legate alla pandemia in corso di COVID-19 come esca, poiché questo tema ha già dimostrato la sua efficacia nella distribuzione di Trickbot e Kpot info stealer. 

Nelle campagne recenti, le email sono state armate con due strumenti universali del crimine informatico: Himera e Absent-Loader. Questa settimana Osman Demir ha rilasciato una regola di caccia alle minacce comunitaria per rilevare campioni di Himera loader legati a queste campagne: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

In questa campagna, gli avversari non sfruttano alcun tipo di macro o exploit nel documento dannoso, invece il documento contiene l’intero eseguibile al suo interno come oggetto incorporato. Himera loader è specializzato nel caricare il codice malware di fase successiva nella macchina della vittima. Esegue alcuni classici trucchi anti-analisi utilizzando le API di Windows per evitare di rivelare il payload principale ai ricercatori e mantenere la campagna segreta più a lungo.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Esecuzione Utente (T1204)