Rilevamento del Bot ModernLoader: Si Diffonde tramite Carte Regalo Amazon False, Compromette Utenti nell’Europa Orientale

Il bot ModernLoader, noto anche come bot Avatar, è un trojan di accesso remoto .NET con la capacità di scaricare ed eseguire file dal server C&C, raccogliere informazioni sul sistema ed eseguire istruzioni arbitrarie. Con il controllo remoto fornito dal malware, gli attori delle minacce utilizzano la rete compromessa per la propagazione del botnet.

La catena di prove suggerisce che questi attacchi possano essere attribuiti a un nuovo gruppo di cyber criminali di lingua russa che prende di mira utenti in Polonia, Ungheria, Bulgaria e Russia. Gli avversari compromettono vulnerabilità in WordPress e CPanel, attirando gli utenti a scaricare impianti dannosi mascherati da certificati regalo Amazon.

Rileva il Bot ModernLoader

Per difendersi proattivamente contro ModernLoader RAT, SOC Prime ha rilasciato una regola Sigma univoca arricchita dal contesto, sviluppata dal perspicace Threat Bounty Program contributore Aykut Gürses:

Rilevazione di attività pianificata di minatori di criptovaluta e RAT di ModernLoader (via cmdline)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix e Open Distro.

La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Execution con Scheduled Task/Job (T1053) come tecnica principale.

I professionisti della sicurezza emergenti che si impegnano a mantenersi aggiornati sulle ultime tendenze che plasmano l’attuale panorama delle minacce informatiche trarranno vantaggio dal Cyber Threats Search Engine, il primo del settore. Premi il pulsante Esplora il Contesto delle Minacce per navigare istantaneamente nella raccolta delle principali minacce relative a RAT e nei nuovi algoritmi di rilevamento rilasciati, esplorando informazioni contestuali pertinenti in un unico luogo. Sia i professionisti della sicurezza emergenti che quelli esperti che si impegnano a mantenersi al passo con le ultime tendenze che plasmano l’attuale panorama delle minacce informatiche trarranno vantaggio dalla consultazione della vasta libreria di contenuti, costantemente aggiornata con pezzi verificati, raggiungendo ora oltre 200.000 rilevamenti arricchiti dal contesto. Esplora i piani di abbonamento disponibili premendo il pulsante Scegli un Piano Rimani avanti agli avversari senza preoccupazioni!

Esplora i Rilevamenti Scegli un Piano

Campagna di Distribuzione di ModernLoader

Il team di ricerca di Cisco Talos ha rilevato un’ondata di distribuzione di malware nel periodo da marzo a giugno 2022. Basato su attacchi osservati e rapporti di notizie, è possibile individuare tre campagne di distribuzione di malware, diffondendo ModernLoader RAT, research team detected a tidal wave of malware distribution within the March to June 2022 timeframe. Based on observed attacks and news reports, it is possible to single out three malware distribution campaigns, spreading ModernLoader RAT, malware di furto di informazioni RedLine e minatori di criptovalute. Gli attaccanti utilizzano PowerShell, assembly .NET, e file HTA e VBS per muoversi lateralmente attraverso le reti compromesse, rilasciando payload malevoli aggiuntivi. Questi attacchi espongono organizzazioni globali in vari settori industriali a gravi rischi.

L’attore della minaccia dietro le campagne elencate sta utilizzando strumenti commerciali; i ricercatori la considerano un indicatore della mancanza di competenze tecniche necessarie per progettare i propri strumenti da parte dell’attore criminale.

Nel 2022, il numero di attacchi informatici in tutto il mondo dovrebbe superare i record degli anni precedenti. Utilizziamo il modello Follow the Sun (FTS), garantendo una risposta tempestiva alle minacce abilitata da leader del settore provenienti da luoghi in diversi fusi orari, in modo che i nostri clienti possano ottenere i migliori risultati con l’innovativa approccio Detection as Code. Anticipa gli avversari con soluzioni complete realizzate da leader del settore di SOC Prime.