Rilevamento di SmokeLoader: Distribuisce il malware Amadey Bot tramite crack di software
Amadey Bot, un ceppo di malware notorio che ha fatto il suo ingresso nell’arena delle minacce informatiche nel 2018, è in grado di rubare dati e distribuire altri payload dannosi nel sistema compromesso. È stato attivamente distribuito sui forum degli hacker per intraprendere operazioni offensive. I ricercatori di cybersecurity hanno recentemente osservato la distribuzione di una nuova versione del malware Amadey Bot via SmokeLoader campagne malevole che sfruttano crack software e utility di generazione di chiavi dai siti web come esca.
Rileva SmokeLoader che Distribuisce AmadeyBot Nelle Campagne Più Recenti
Con un numero sempre crescente di attacchi e vettori di minaccia in rapida evoluzione, i professionisti della cybersecurity cercano nuovi modi per rafforzare proattivamente le difese della loro organizzazione. La piattaforma Detection as Code di SOC Prime cura un insieme di regole Sigma per aiutare le organizzazioni globali a difendersi efficacemente contro una nuova versione di Amadey Bot installata tramite SmokeLoader nelle più recenti campagne avversarie.
Tutte le regole Sigma dedicate sono convertibili per le soluzioni SIEM, EDR e XDR leader nel settore e allineate con il framework MITRE ATT&CK® per garantire una visibilità completa sulle minacce correlate. Segui i link qui sotto per ottenere queste rilevazioni curate e realizzate dai nostri proliferi contributori di contenuti e partecipanti attivi del Threat Bounty Program, Aykut Gurses, Nattatorn Chuensangarun, e Aytek Aytemur:
Attività Sospetta di Persistenza del Malware SmokeLoader (via cmdline)
Questa query di caccia alle minacce sviluppata da Aykut Gurses rileva un attacco persistente a seguito dell’esecuzione da parte dell’utente di malware SmokoLoader e Amadey Bot diffuso tramite crack software o siti web di keygen. La regola di rilevazione affronta le tattiche Defense Evasion ed Execution ATT&CK insieme alle relative tecniche, tra cui Modify Registry (T1112), Scheduled Task/Job (T1053) e User Execution (T1204).
La query di caccia alle minacce sopra menzionata, creata da Nattatorn Chuensangarun, rileva l’attività malevola di persistenza di SmokeLoader copiandosi nel percorso Temp attraverso una modifica della chiave di registro. Questa regola Sigma affronta la tattica avversaria Defense Evasion utilizzando Modify Registry (T1112) come tecnica principale.
Nuova versione di Amadey Bot Distribuita Via SmokeLoader (via process_creation)
Questa regola Sigma di Aytek Aytemur rileva l’attività sospetta di schtasks.exe implementata dal malware Amadey Bot installato da SmokeLoader. La rilevazione affronta la tecnica Scheduled Task/Job (T1053) del repertorio di tattiche Execution.
Gli esperti del settore e aspiranti contributori di contenuti di rilevamento possono affinare le proprie competenze in Detection Engineering e Threat Hunting unendosi al Threat Bounty Program sostenuto dall’iniziativa di crowdsourcing di SOC Prime. Crea contenuti di rilevamento, condividili con i colleghi del settore e guadagna ricompense finanziarie per i tuoi contributi con un’opportunità brillante di auto-avanzamento.
Per ottenere l’accesso all’intero elenco di regole Sigma per la rilevazione del malware SmokeLoader, fai clic sul pulsante Detect & Hunt qui sotto. Anche gli utenti non registrati di SOC Prime possono accedere istantaneamente al contesto completo delle minacce relative alle ultime campagne SmokeLoader che scaricano Amadey Bot utilizzando il motore di ricerca delle minacce informatiche di SOC Prime. Fai clic sul pulsante Explore Threat Context e accedi a metadati contestuali dettagliati, comprese le referenze MITRE ATT&CK e CTI, link ai media, e ulteriori approfondimenti accompagnati dalle ultime regole Sigma della piattaforma di SOC Prime.
Detect & Hunt Explore Threat Context
Dal suo debutto nel 2018, Amadey Bot è stato frequentemente utilizzato dagli avversari per proseguire con attività di ricognizione, rubare dati sensibili dagli host infetti e consegnare ulteriori payload dannosi. Sebbene la distribuzione del malware sia diminuita tra il 2020 e il 2021, Amadey Bot è riemerso nel 2022 con funzionalità migliorate, passando dai kit exploit Fallout e Rig a SmokeLoader come principale metodo di distribuzione.
Secondo l’ indagine di AhnLab, SmokeLoader viene tipicamente eseguito da vittime inconsapevoli come parte di crack software o keygen. Pertanto, il malware supera con successo gli avvisi antivirus poiché gli utenti tendono a disabilitare le protezioni durante l’installazione dei crack software. Inoltre, SmokeLoader inietta il payload dannoso nel processo explorer.exe e rilascia Amadey sul sistema compromesso.
Nota bene, la versione più recente 3.21 di Amadey Bot è in grado di identificare circa 14 prodotti antivirus ed eludere la rilevazione mentre guadagna persistenza sull’host. Dopo aver raccolto informazioni sul sistema, Amadey rilascia ulteriore malware, inclusi vari infostealer, come RedLine. I payload dannosi vengono fetchati ed eseguiti con superamento di UAC e escalation dei privilegi. Inoltre, PowerShell viene utilizzato per escludere Windows Defender e garantire un’installazione nascosta.
Per prevenire l’infezione da Amadey Bot e SmokeLoader, si esorta gli utenti a evitare di utilizzare crack software e generatori di chiavi illegittimi. Inoltre, i professionisti della sicurezza possono migliorare le proprie capacità di rilevamento delle minacce e la velocità di threat hunting registrandosi sulla piattaforma Detection as Code di SOC Prime. La piattaforma aggrega oltre 200.000 algoritmi di rilevamento per le minacce esistenti ed emergenti consegnate entro 24 ore e consente di rimanere un passo avanti rispetto agli attaccanti. I cacciatori di minacce esperti e gli analisti di sicurezza sono i benvenuti a unirsi al nostro Threat Bounty Program per inviare le proprie regole Sigma e ottenere pagamenti ricorrenti contribuendo alla difesa informatica collaborativa.
