JSOutProx RAT

[post-views]
Settembre 01, 2020 · 2 min di lettura
JSOutProx RAT

L’anno scorso, l’India è stata nominata il paese più colpito dagli attacchi informatici. Le infrastrutture critiche nei settori del petrolio e del gas, della difesa, della banca e della produzione sono elencate come i bersagli più comuni. 

Ad aprile 2020, gli stabilimenti governativi e un certo numero di banche in India sono stati colpiti da campagne email che distribuivano uno JavaScript dannoso e una backdoor basata su Java, successivamente associata a JsOutProx RAT.

Nelle loro email malevole, i malintenzionati sfruttavano l’argomento rilevante per qualsiasi destinatario bancario, rendendo la mail ancora più legittima. Basandosi sull’analisi dell’infrastruttura delle email malevole inviate in diverse campagne, i ricercatori le hanno attribuite a un unico attore di minaccia. 

L’analisi di JsOutProx ha mostrato anche che lo script può essere eseguito in diversi ambienti. Inoltre, confrontando l’attacco precedente di JsOutProx, nell’ultimo attacco l’attore della minaccia utilizza diversi metodi di distribuzione, inclusi ambienti di server web. Lo script può eseguire una serie di comandi ricevuti dal suo server C2 per manipolare il sistema della vittima, inclusi plugin PowerShell e backdoor, rimuovendone anche l’impatto dalla macchina vittima. L’ultimo stamp può anche ritardare la sua esecuzione, e una volta finalmente distribuito, avvia la routine di inizializzazione per raccogliere informazioni sensibili e inviarle al suo server di comando e controllo tramite una richiesta HTTP POST. 

Ariel Millahuel ha creato una regola Sigma comunitaria per rilevare le attività di JSOutProx RAT (rilevamento Sysmon): https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Impatto, Evasione della Difesa, Persistenza

Tecniche: File o Informazioni Offuscate (T1027), Chiavi di Registro Run / Cartella di Avvio (T1060), Spegnimento/Riavvio del Sistema (T1529)


Pronto per provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Tattica di Esecuzione | TA0002
Blog, Ultime Minacce — 7 min di lettura
Tattica di Esecuzione | TA0002
Daryna Olyniychuk
PyVil RAT del Gruppo Evilnum
Blog, Ultime Minacce — 2 min di lettura
PyVil RAT del Gruppo Evilnum
Eugene Tkachenko
APT Tribù Trasparente
Blog, Ultime Minacce — 2 min di lettura
APT Tribù Trasparente
Eugene Tkachenko