Rilevamento Malware Eternity: Nuovo MaaS Modulare
Indice:
Mentre i professionisti della cybersicurezza stanno lavorando duramente per potenziare le operazioni dei SOC con soluzioni più scalabili e innovative, gli attori delle minacce si stanno anche impegnando per non rimanere indietro in questa incessante corsa alla sicurezza. I ricercatori di sicurezza rilevano un aumento nel numero di offerte di malware-as-a-service (MaaS), con i suoi operatori che propongono nuovi approcci sofisticati per la distribuzione e la propagazione. Uno degli esempi più recenti è un toolkit di malware chiamato “Eternity Project” che può essere ottenuto non solo nei mercati del darknet ma anche contattando i suoi distributori attraverso il loro canale Telegram.
Gli attori delle minacce stanno impiegando nuovi servizi orientati al cliente, come un Bot su Telegram che consente agli acquirenti del malware Eternity di regolare i loro acquisti per meglio corrispondere alle loro intenzioni malevole. Il toolkit di malware include un Eternity stealer, worm, miner, clipper, ransomware e un bot per attacchi distribuiti di tipo denial-of-service (DDoS). Tutte le offerte di acquisto possono essere acquistate singolarmente.
Rileva il Malware Eternity
Per un’efficace rilevazione del malware Eternity, utilizza la regola Sigma qui sotto sviluppata dal talentuoso membro del SOC Prime Threat Bounty Program, Osman Demir, per monitorare tempestivamente un’attività sospetta rilevante nel tuo sistema:
Esecuzione sospetta di Eternity Stealer dalla cartella Temp (tramite cmdline)
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix e Open Distro.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con l’Interprete di Comandi e Script (T1059) come tecnica principale.
Consulta l’elenco completo delle regole disponibili nel repository del Threat Detection Marketplace sulla piattaforma di SOC Prime per rilevare altri possibili compromessi del sistema. Gli esperti di cybersecurity sono caldamente invitati a unirsi al programma Threat Bounty per condividere le loro regole Sigma con la comunità e ottenere ricompense ricorrenti.
Visualizza Rilevazioni Unisciti a Threat Bounty
Descrizione del Malware Eternity
Il nuovo servizio di malware chiamato Eternity sta guadagnando popolarità in un mercato delle minacce. Gli esperti di Cyble Research Labs hanno riportato di un malware recentemente emerso nell’Eternity Project che hanno scoperto su un sito TOR, ora venduto tramite il servizio di messaggistica Telegram. Il canale Telegram offre anche aggiornamenti del prodotto, un’opzione per costruire il binario e supporto agli utenti per diventare operatori del malware Eternity. Un toolkit multimodulare di malware include sei moduli di malware, con i prezzi a partire da 90 $ per un Eternity Miner; l’elemento più costoso in offerta è un Eternity Ransomware che promette di criptare tutti i dati della vittima, disponibile per 490 $.
L’analisi del Malware Eternity mostra che gli organizzatori di questo progetto stanno sfruttando il codice di un repository GitHub, ribattezzandolo per generare guadagni. Gli analisti riportano che un famigerato Jester Stealer utilizzato in attacchi di phishing contro l’Ucraina all’inizio di maggio di quest’anno potrebbe essere stato costruito sul codice menzionato.
Unisciti a la piattaforma SOC Prime Detection as Code per sbloccare l’accesso al più grande pool mondiale di contenuti di rilevazione creati da esperti rinomati nel settore. Resta certo che non perderai nessun aggiornamento importante poiché i nostri esperti SOC si impegnano a pubblicare tutte le ultime rilevazioni, mantenendo una risposta rapida alle recenti minacce.
