AZORult Trojan Used in Targeted Attacks

[post-views]
Outubro 07, 2020 · 2 min de leitura
AZORult Trojan Used in Targeted Attacks

Na semana passada, pesquisadores da Zscaler ThreatLabZ lançaram um relatório sobre uma campanha massiva visando a cadeia de suprimentos e os setores governamentais no Oriente Médio. Criminosos cibernéticos enviaram e-mails de phishing fingindo ser de funcionários da Abu Dhabi National Oil Company (ADNOC) que infectaram alvos com o trojan AZORult.

Campanha Targeted at organizations in the Middle East

Os adversários viram uma oportunidade de usar contratos rescindidos pela ADNOC em abril como um engodo, enquanto as negociações estão ativamente em andamento e novos contratos estão sendo concluídos.

A campanha começou em julho, e várias organizações relacionadas à cadeia de suprimentos no setor de petróleo e gás receberam e-mails de phishing com arquivos PDF que pareciam legítimos contendo links para serviços de compartilhamento de arquivos legítimos que hospedavam arquivos ZIP maliciosos. O arquivo contém um dropper que baixa e implanta o trojan AZORult na máquina alvo.

AZORult é um malware comercial conhecido há mais de 4 anos, portanto é difícil atribuir esta campanha a atores de ameaça conhecidos. O Trojan possui funcionalidades de roubo de informações e também tem a capacidade de instalar ferramentas adicionais e criar uma conta de administrador oculta permitindo conexões RDP ao sistema infectado.

Detecção do trojan AZORult

Nova regra Sigma para caça à ameaças comunitárias lançada por Osman Demir permite que soluções de segurança encontrem vestígios do trojan AZORult implantado durante a campanha alvo: https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Evasão de Defesa, Persistência

Técnicas: Remoção de Indicador no Host (T1070), Chaves Run no Registro / Pasta de Inicialização (T1060)

Encontre mais conteúdo de detecção para descobrir o malware AZORult e droppers relacionados em Threat Detection Marketplace.

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware 4 min de leitura Ameaças Mais Recentes Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware by Veronika Telychko
Todas as notícias