Contenuto di Caccia alle Minacce: Botnet Devil Shadow

[post-views]
Giugno 01, 2020 · 2 min di lettura
Contenuto di Caccia alle Minacce: Botnet Devil Shadow

Al giorno d’oggi, durante il lockdown, molte organizzazioni continuano a utilizzare Zoom a livello aziendale per condurre riunioni in conferenza, nonostante i problemi di sicurezza riscontrati in questa applicazione. Gli attaccanti hanno sfruttato l’aumento della popolarità di questa applicazione per diversi mesi, e puoi proteggere parzialmente la tua organizzazione dagli attacchi rendendo più sicuro il servizio Zoom. Ma questo non risolverà completamente il problema, poiché i criminali informatici possono inviare agli utenti link a malware invece dell’installer di Zoom, e ora nascondono malware in installer falsi, che eseguono la versione legittima dell’installer di Zoom per evitare sospetti. Tali installer sono più grandi e funzionano più lentamente di un file legittimo, ma l’utente ordinario probabilmente non ci presterà attenzione. In questo modo, gli attaccanti stanno ora distribuendo Devil Shadow Botnet.

Utilizzando questo botnet, i criminali informatici possono spiare le vittime tramite webcam, fare screenshot e utilizzare un modulo keylogger per raccogliere credenziali e altre informazioni sensibili per i passaggi successivi dell’attacco.

I partecipanti al SOC Prime Threat Bounty Program hanno risposto rapidamente a questa minaccia e pubblicato due regole Sigma comunitarie per scoprire tracce di Devil Shadow Botnet. Le regole sono piuttosto diverse e coprono diverse tecniche MITRE ATT&CK.

Fake ZOOM Installer.exe (Devil Shadow Botnet) di Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet Nascosto in Installer Falsi di Zoom di Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Escalation dei Privilegi, Accesso Credenziali, Persistenza, Evasione Difensiva, Comando e Controllo

Tecniche: Esecuzione Utente (T1204), Hooking (T1179), Moduli e Estensioni del Kernel (T1215), Iniezione dei Processi (T1055), Software Packing (T1045), Porta Non Comunemente Usata (T1065)

Altre regole per rilevare attacchi correlati a Zoom: https://tdm.socprime.com/?searchValue=zoom

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.