Rilevamento di RAT PowerShell: Malware Su Misura Utilizzato per Ottenere Informazioni Correlate alla Guerra

Gli utenti situati in Germania stanno diventando vittime di una nuova campagna di malware progettata per diffondere un trojan di accesso remoto (RAT) PowerShell personalizzato. Gli avversari hanno creato un sito di copertura per ingannare le persone a cadere nella trappola in un falso flash di notizie che afferma di offrire informazioni non precedentemente pubblicate riguardo alla situazione in Ucraina. Le vittime sono invitate a scaricare un documento che fornirà ulteriori informazioni sulla questione. Questo file armato installa un RAT personalizzato che consente agli attaccanti di eseguire comandi remoti (RCE) su una macchina compromessa.

Come suggeriscono i dati di ricerca, al momento non ci sono prove sufficienti per mostrare chi esattamente sia responsabile degli attacchi.

Rileva PowerShell RAT

Rileva se il tuo sistema è stato compromesso con PowerShell RAT identificando attività malevole rilevanti con una regola basata su Sigma sviluppata da un esperto ingegnere di rilevamento del Threat Bounty Program Furkan Celik:

Rileva Attività Pianificate RAT PowerShell Creato su Misura (via sicurezza)

La rilevazione è disponibile per le 16 piattaforme SIEM, EDR e XDR, allineate con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Task/Job Pianificato (T1053) come tecnica principale.

Professionisti affermati nella caccia alla minaccia e nel rilevamento delle minacce sono invitati a contribuire alla nostra iniziativa globale di crowdsourcing. Mantieni la linea di difesa contro le minacce emergenti e monetizza le tue competenze avanzate in cyber. Unisciti al SOC Prime Threat Bounty Program e stabilisci un reddito stabile per il tuo contenuto di rilevamento, come le regole SIGMA, Yara e Snort.

Visualizza Rilevazioni Unisciti al Threat Bounty

Analisi del Malware PowerShell RAT

Malwarebytes i ricercatori hanno scoperto PowerShell RAT, un pezzo di malware proveniente probabilmente da un attore delle minacce sponsorizzato dalla Russia che prende di mira gli utenti in Germania tentando di ottenere informazioni relative alla guerra riguardanti la crisi ucraina. Nella recente campagna di attacchi ben pianificata, gli avversari hanno creato un sito web fasullo sfruttando un dominio scaduto precedentemente utilizzato per scopi governativi nello stato del Baden-Württemberg. I visitatori ingannati sono stati indotti a scaricare un archivio ZIP che presumibilmente conteneva informazioni sulla situazione delle minacce in Ucraina per il secondo trimestre del 2022, con aggiornamenti regolari al momento del download. Quello che il file offerto conteneva era un RAT PowerShell su misura.

Il file ZIP include un file CHM con un numero di file HTML compilati. All’apertura, la vittima viene mostrata un avviso di errore fasullo. Nel frattempo, in background, il file avvia PowerShell, che esegue un deoffuscatore Base64 prima di prelevare ed eseguire uno script dannoso dal sito ingannevole del Baden-Württemberg. Infine, lo script lascia cadere due file sulla macchina compromessa: un file .txt con il RAT scritto in PowerShell e un file .cmd che consente a PowerShell di avviarlo. Il RAT preleva e carica file dal server C&C, carica ed esegue uno script PowerShell, ed esegue un comando specifico.

Attribuire questi attacchi ad attori delle minacce sponsorizzati dalla Russia sarebbe piuttosto speculativo al momento, ma la motivazione degli avversari si adatta al modello. 

Adeguare continuamente le difese per superare gli avversari potrebbe sembrare una sfida, ma uniti si vince! Attingi al potere della più grande comunità di difesa cibernetica del mondo di oltre 23.000 professionisti SOC per potenziare le tue pratiche di sicurezza con SOC Prime.