Contenuto di Caccia alle Minacce: Botnet Devil Shadow
Al giorno d’oggi, durante il lockdown, molte organizzazioni continuano a utilizzare Zoom a livello aziendale per condurre riunioni in conferenza, nonostante i problemi di sicurezza riscontrati in questa applicazione. Gli attaccanti hanno sfruttato l’aumento della popolarità di questa applicazione per diversi mesi, e puoi proteggere parzialmente la tua organizzazione dagli attacchi rendendo più sicuro il servizio Zoom. Ma questo non risolverà completamente il problema, poiché i criminali informatici possono inviare agli utenti link a malware invece dell’installer di Zoom, e ora nascondono malware in installer falsi, che eseguono la versione legittima dell’installer di Zoom per evitare sospetti. Tali installer sono più grandi e funzionano più lentamente di un file legittimo, ma l’utente ordinario probabilmente non ci presterà attenzione. In questo modo, gli attaccanti stanno ora distribuendo Devil Shadow Botnet.
Utilizzando questo botnet, i criminali informatici possono spiare le vittime tramite webcam, fare screenshot e utilizzare un modulo keylogger per raccogliere credenziali e altre informazioni sensibili per i passaggi successivi dell’attacco.
I partecipanti al SOC Prime Threat Bounty Program hanno risposto rapidamente a questa minaccia e pubblicato due regole Sigma comunitarie per scoprire tracce di Devil Shadow Botnet. Le regole sono piuttosto diverse e coprono diverse tecniche MITRE ATT&CK.
Fake ZOOM Installer.exe (Devil Shadow Botnet) di Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/
Devil Shadow Botnet Nascosto in Installer Falsi di Zoom di Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Escalation dei Privilegi, Accesso Credenziali, Persistenza, Evasione Difensiva, Comando e Controllo
Tecniche: Esecuzione Utente (T1204), Hooking (T1179), Moduli e Estensioni del Kernel (T1215), Iniezione dei Processi (T1055), Software Packing (T1045), Porta Non Comunemente Usata (T1065)
Altre regole per rilevare attacchi correlati a Zoom: https://tdm.socprime.com/?searchValue=zoom