Rilevamento di NIGHT SPIDER Zloader: Difendersi dalle Attività Maligne del Trojan con SOC Prime

[post-views]
Marzo 17, 2022 · 4 min di lettura
Rilevamento di NIGHT SPIDER Zloader: Difendersi dalle Attività Maligne del Trojan con SOC Prime

Il trojan Zloader di NIGHT SPIDER ha operato silenziosamente negli ultimi mesi su scala globale, conducendo una campagna di intrusione su una serie di aziende in vari settori.

Il modo principale per installare malware era nascosto all’interno del software legittimo. Per sfruttare l’accesso iniziale, gli aggressori utilizzavano pacchetti .msi di installazione. I payload erano mirati al riconoscimento. Nonostante l’uso di tecniche note, le specifiche tecniche più precise degli script dannosi sono state nuovamente aggiornate. Gli sviluppatori di contenuti di SOC Prime hanno immediatamente studiato i nuovi ceppi di malware sviluppati da NIGHT SPIDER e creato regole di rilevamento che identificano l’attività degli avversari il più rapidamente possibile.

Campagna NIGHT SPIDER Zloader

La nuova regola basata su Sigma fornita dal nostro sviluppatore di Threat Bounty Sittikorn Sangrattanapitak rileva attività sospette di Night Spider per l’uso dell’utilità adminpriv.exe che tenta di manipolare i valori del registro, il che è stato il modello di comportamento dell’avversario durante la campagna Zloader di marzo 2022.

Campagna NIGHT SPIDER Zloader utilizza adminpriv per manipolare i valori del Registro (tramite creazione di processi)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

Campagna NIGHT SPIDER Zloader utilizza adminpriv per manipolare i valori del Registro (tramite creazione di processi)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR e XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

Le regole sono allineate con l’ultima versione del quadro MITRE ATT&CK® v.10, affrontando la tecnica Command and Scripting Interpreter.

Inoltre, puoi controllare l’ elenco completo delle regole mirate al rilevamento del Trojan Zloader attualmente disponibili sulla piattaforma SOC Prime. Ti senti abbastanza esperto in materia? Allora puoi condividere il tuo contenuto di rilevamento con la nostra comunità globale di professionisti della sicurezza informatica nel programma Threat Bounty e ottenere ricompense ricorrenti per il tuo contributo.

Visualizza rilevamenti Partecipa a Threat Bounty

Analisi NIGHT SPIDER Zloader

Secondo l’indagine di CrowdStrike , per eseguire il trojan Zloader di NIGHT SPIDER , gli installatori di malware iniziali si fingono quelli con hash legittimi di software ampiamente usati come Zoom, TeamViewer, JavaPlugin o Brave Browser. Una volta avviati, questi installatori scaricano payload di ricognizione automatica tramite il trojan Zloader e, in diversi casi, Cobalt Strike., the initial malware installers are pretending to be those using legitimate hashes of widely used software like Zoom, TeamViewer, JavaPlugin, or Brave Browser. Once they run, these installers download automated reconnaissance payloads via Zloader trojan, and in a number of cases, Cobalt Strike.

I comandi PowerShell sono stati utilizzati dall’utilità wscript per avviare un download remoto del payload NIGHT SPIDER. Questi script hanno inoltre utilizzato PowerShell per eludere l’AntiMalware Scan Interface e Windows Defender di Microsoft. Successivamente, l’utilità adminpriv ha aiutato gli aggressori a modificare i valori del registro. Il payload è stato decriptato sfruttando i valori di hash del software legittimo.

Le organizzazioni si sforzano di rilevare il trojan Zloader di NIGHT SPIDER e minacce simili il più presto possibile per evitare danni significativi ai loro sistemi e reti. La difesa informatica collaborativa è l’opzione più rapida ed efficiente per i team SOC che vogliono rimanere consapevoli del contenuto di rilevamento più recente senza spendere troppo tempo e risorse per ricerca e sviluppo. Esplora la piattaforma Detection as Code di SOC Prime per accedere alle regole SIGMA di massima qualità insieme a traduzioni in più di 20 formati specifici per vendor SIEM, EDR e XDR. Un rilevamento accurato e tempestivo è fondamentale per organizzare un SOC efficiente 24/7/365 mentre i tuoi ingegneri possono affrontare compiti più avanzati.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati