Rilevamento dell’Attacco MULTI#STORM: Una Nuova Campagna di Phishing che Diffonde Molteplici Trojan di Accesso Remoto e che Prende di Mira gli Stati Uniti e l’India
Indice:
I ricercatori di cybersecurity avvertono i difensori di un’altra campagna di phishing soprannominata MULTI#STORM, in cui gli hacker sfruttano i file JavaScript per diffondere malware RAT sui sistemi presi di mira. La catena di attacco MULTI#STORM contiene più fasi con l’ultima che diffonde Quasar RAT and Warzone RAT campioni. Secondo l’indagine, in questa campagna gli attori delle minacce hanno puntato gli occhi su Stati Uniti e India.
Rilevamento Attacco MULTI#STORM
La piattaforma SOC Prime per la difesa informatica collettiva consente alle organizzazioni di incrementare la loro resilienza informatica fornendo soluzioni all’avanguardia e convenienti supportate da Sigma e MITRE ATT&CK tecnologie. Per armare i difensori informatici con SOC a base comportamentale per contenuti per il rilevamento di attacchi MULTI#STORM, la piattaforma SOC Prime cura un set di regole Sigma rilevanti mappate su ATT&CK e compatibili con tecnologie leader di mercato come SIEM EDR, XDR e Data Lake.
Clicca il Esplora Rilevamenti pulsante qui sotto per approfondire l’elenco completo delle regole Sigma per rilevare la nuova campagna MULTI#STORM e identificare tempestivamente eventuali tracce di malware RAT nell’infrastruttura dell’organizzazione. Tutti gli algoritmi di rilevamento sono arricchiti con metadati rilevanti, come link ATT&CK e CTI, mitigazioni e binari corrispondenti.
Analisi dell’Attacco Phishing MULTI#STORM
I ricercatori di cybersecurity presso Securonix Threat Labs hanno scoperto una nuova campagna di phishing conosciuta come MULTI#STORM che principalmente prende di mira utenti individuali negli Stati Uniti e India. La catena di infezione inizia cliccando un link incorporato che conduce a un file ZIP protetto da password situato su Microsoft OneDrive. Quest’ultimo contiene un file Javascript offuscato che, una volta doppiamente cliccato, diffonde ulteriormente l’infezione sfruttando il loader basato su Python, che applica capacità simili e TTP del malintenzionato come il malware DBatLoader. Il loader utilizzato nella fase iniziale dell’attacco nella campagna MULTI#STORM è responsabile della diffusione di un set di campioni di malware RAT sui sistemi colpiti e sfrutta una serie di tecniche avanzate per mantenere la persistenza e sfuggire al rilevamento.
Gli attori delle minacce rilasciano inizialmente il famigerato Trojan soprannominato Warzone RAT, che è in grado di comunicazioni C2 crittografate, mantenere la persistenza e il recupero delle password applicando anche un set di tecniche avversarie per l’evasione del rilevamento, come la funzionalità di bypass di Windows Defender. Warzone RAT è usato dagli hacker per rubare dati sensibili, come cookie e credenziali dai browser web popolari.
I ricercatori hanno anche osservato tracce malevoli di un altro payload soprannominato Quasar RAT dietro l’esecuzione di Warzone RAT nell’operazione MULTI#STORM. Gli attori delle minacce hanno applicato una porta diversa per la comunicazione dopo l’esecuzione riuscita di Quasar RAT.
Come misure potenziali di mitigazione, i difensori informatici raccomandano di monitorare continuamente l’uso dei link di OneDrive, evitando di aprire allegati email sospetti, in particolare file ZIP, e limitando l’esecuzione di binari sconosciuti attraverso aggiornamenti delle politiche, insieme al seguire le migliori pratiche di sicurezza per la protezione degli email.
Contesto MITRE ATT&CK
Tutte le regole Sigma sopra menzionate sono taggate con ATT&CK fornendo informazioni contestuali approfondite e affrontando tattiche e tecniche rilevanti associate alla campagna MULTI#STORM.
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
Registrati alla piattaforma SOC Prime per essere equipaggiato con strumenti di difesa informatica all’avanguardia che soddisfano le tue attuali esigenze di sicurezza. Esplora il più grande archivio mondiale di oltre 10.000 regole Sigma per rilevare proattivamente le minacce emergenti; affidati a Uncoder AI per avanzare nella tua ingegneria di rilevamento con l’autocompletamento di Sigma & ATT&CK, traduzione istantanea bidirezionale delle query in più di 28 formati di lingua e contesto di minaccia informatica approfondito supportato da ChatGPT e dalla potenza dell’intelligenza collettiva; o utilizza Attack Detective per convalidare l’intero stack di rilevamento in meno di 300 secondi, trovare le lacune nella difesa informatica e affrontarle efficacemente per blindare la tua postura di sicurezza informatica. Cerchi di tenerti aggiornato con le ultime novità ? Unisciti alla nostra comunità di difensori informatici open-source su discord.gg/socprime.