Contenuto di Rilevamento: Caccia al Netwire RAT

NetWire è un Trojan di Accesso Remoto disponibile pubblicamente che fa parte della famiglia di malware NetWiredRC utilizzata dai criminali informatici dal 2012. La sua funzionalità principale si concentra sul furto di credenziali e keylogging, ma possiede anche capacità di controllo remoto. Gli avversari distribuiscono spesso NetWire attraverso malspam e email di phishing. 

In una campagna recente, i criminali informatici hanno preso di mira utenti in Germania e hanno camuffato le email di phishing come se fossero del corriere tedesco, pacchi e servizio di posta espressa DHL. Gli attaccanti hanno utilizzato documenti MS Excel come allegato malevolo. Viene attivato un comando PowerShell per scaricare due file da Pastebin e eseguire sostituzioni di caratteri su di essi per decodificare il file DLL, scaricare NetWire RAT offuscato e quindi usare il DLL decodificato per iniettare il trojan nel processo legittimo. 

Nuova regola di ricerca delle minacce creata da Osman Demir che scopre il comando PowerShell per scaricare file dannosi e l’iniezione di processo in un file legittimo di Windows.

Netwire RAT tramite paste.ee e MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Comando e Controllo

Tecniche: Strumenti di Accesso Remoto (T1219)

Puoi anche controllare la regola comunitaria Rilevamento Netwire RAT tramite WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/