Rilevamento ROKRAT: Il Malware Adotta Nuovi Metodi di Distribuzione Basati su Grandi File LNK
Indice:
Gli avversari sono costantemente alla ricerca di nuovi modi per superare le protezioni di sicurezza. Dopo che Microsoft ha iniziato a bloccare di default le macro per i documenti Office lo scorso anno, i cybercriminali hanno adattato i loro metodi di distribuzione per eludere la difesa. APT37 segue questa tendenza importante, utilizzando file di collegamento di Windows (LNK) per proseguire con successo le campagne ROKRAT (nota anche come DOGCALL).
Rilevare Attacchi Malware ROKRAT
I professionisti della sicurezza necessitano di una fonte fidata di contenuti di rilevamento per proteggere beni organizzativi critici e identificare prontamente possibili intrusioni. La piattaforma SOC Prime offre un insieme di regole Sigma per rilevare le ultime campagne ROKRAT.
Questa regola di rilevamento creata da Mustafa Gurkan KARAKAYA, uno sviluppatore esperto di Threat Bounty, identifica l’esecuzione del malware ROKRAT tramite un file DLL dannoso attraverso la command line associata. La regola è compatibile con 23 soluzioni SIEM, EDR e XDR, ed è mappata al framework MITRE ATT&CK® , affrontando in particolare la tattica di Esecuzione e la tecnica di Comando e Interprete di Script (T1059).
Sei desideroso di mettere a frutto le tue competenze di ingegneria del rilevamento e di caccia alle minacce contribuendo a rendere il mondo un posto più sicuro? Unisciti al Programma Threat Bounty di SOC Prime e pubblica le tue regole Sigma nel più grande mercato di rilevamento delle minacce. Diventando membro della nostra iniziativa di crowdsourcing, puoi migliorare il tuo CV futuro e connetterti con esperti del settore, ricevendo allo stesso tempo benefici finanziari per i tuoi contributi.
Premi il pulsante Esplora Rilevamenti qui sotto per accedere alla lista completa delle regole Sigma per rilevare il malware ROKRAT. Tutte le regole Sigma sono arricchite con intelligence sulle minacce informatiche pertinenti, fornendo un contesto completo degli attacchi e dei modelli di comportamento degli avversari per semplificare la tua indagine.
Analisi della Nuova Catena di Infezione ROKRAT
Per tenersi al passo con la superficie di attacco in continua evoluzione, l’attore statale APT37 ha adottato nuovi metodi di distribuzione per il loro campione malevolo ROKRAT.
Il backdoor ROKRAT è frequentemente utilizzato per il dump delle credenziali, il furto di informazioni, l’esecuzione di comando e shellcode, e altro. Dalla metà del 2022, gli esperti di sicurezza hanno osservato un passaggio da macro dannose a grandi file LNK utilizzati per iniziare la catena di infezione a più stadi di ROKRAT. In particolare, lo stesso approccio è stato applicato in altri attacchi APT37, portando alla distribuzione di malware personalizzati GOLDBACKDOOR e commodity Amadey.
Le ultime campagne ROKRAT sono principalmente focalizzate sulle istituzioni del settore pubblico sudcoreano, che è un obiettivo di interesse tradizionale per APT37. Questo collettivo di hacking è affiliato con il Ministero della Sicurezza dello Stato della Corea del Nord ed è attivo almeno dal 2012. A partire dal 2017, gli avversari hanno ampliato il loro targeting oltre la sola Corea del Sud, cercando ora vittime a livello globale. I settori colpiti includono, ma non sono limitati a, manifattura, elettronica, sanità e settori automobilistici.
Man mano che le superfici di attacco diventano più complesse, le organizzazioni stanno cercando metodi per rilevare prontamente le minacce emergenti e proteggere la loro infrastruttura da possibili intrusioni. SOC Prime fornisce contenuti di rilevamento completi che affrontano le ultime minacce malware, garantendo che la tua organizzazione sia completamente attrezzata per rimanere un passo avanti agli avversari. Visita https://socprime.com/ per saperne di più sulle minacce emergenti o per accedere a quelle adatte al profilo di minaccia della tua organizzazione con l’abbonamento On Demand su https://my.socprime.com/pricing.Â
