Contenuto di Threat Hunting: Rilevamento di DropboxAES RAT

Oggi vogliamo parlarvi del trojan DropboxAES utilizzato dal gruppo APT31 nelle campagne di spionaggio informatico e fornire anche un link alla regola Community Sigma per rilevare questo malware.

In generale, DropboxAES non si distingue dalla maggior parte dei trojan di accesso remoto. Questo è uno strumento relativamente nuovo nell’arsenale di APT31 (conosciuto anche come BRONZE VINEWOOD). Il malware deve il suo nome all’uso del servizio di condivisione di file Dropbox per le sue comunicazioni di comando e controllo. Il gruppo APT31 ha precedentemente distribuito il trojan con il malware HanaLoader, ma di questo parleremo nei nostri prossimi post sul blog. Il loader utilizza la tecnica DLL Search Order Hijacking per eseguire il payload finale. DropboxAES RAT consente agli avversari di caricare file dall’host infetto al server C&C, scaricare file dal server C&C all’host infetto, eseguire comandi sull’host infetto tramite una shell inversa basata su riga di comando non interattiva, caricare informazioni di sistema di base sull’host compromesso al server C&C e rimuoversi completamente dal sistema infetto.

I ricercatori hanno scoperto il trojan in una campagna mirata a organizzazioni legali, di consulenza e sviluppo software. Credono che gli attaccanti siano interessati alle catene di fornitura governative o di difesa. 

APT31 come attore di minaccia cinese specializzato nel furto di proprietà intellettuale, concentrandosi su dati e progetti che rendono un’organizzazione particolarmente competitiva nel suo campo. 

Ariel Millahuel ha rilasciato una nuova regola di hunting delle minacce che scopre la presenza di questo malware persistente nella rete dell’organizzazione: https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Persistenza

Tecniche: Chiavi di registro Run / Cartella di avvio (T1060)