JSOutProx RAT

No ano passado, a Índia foi nomeada o país mais ciberneticamente atacado. Infraestruturas críticas nas indústrias de petróleo e gás, e nos setores de defesa, bancário e manufatura são listadas como os alvos mais comuns. 

Em abril de 2020, os estabelecimentos governamentais e vários bancos na Índia foram alvo de campanhas de email entregando um JavaScript malicioso e uma backdoor baseada em Java, que foi posteriormente associada ao RAT JsOutProx.

Em seus e-mails maliciosos, os atacantes aproveitaram um tópico relevante para qualquer destinatário do banco, o que fez o email parecer ainda mais legítimo. Com base na análise da infraestrutura dos e-mails maliciosos enviados em diferentes campanhas, os pesquisadores atribuíram-nos a um ator de ameaça. 

A análise do JsOutProx também mostrou que o script pode ser executado em diferentes ambientes. Além disso, comparando o ataque anterior do JsOutProx, no ataque mais recente, o ator da ameaça utiliza diferentes métodos de implantação, incluindo ambientes de servidores web. O script pode executar vários comandos recebidos de seu servidor C2 para manipular o sistema da vítima e, o plugin PowerShell e backdoor, incluindo removê-lo da máquina da vítima. O carimbo recente também pode atrasar sua execução, e após ser finalmente implantado, ele executa a rotina de inicialização para coletar informações confidenciais e enviá-las para seu servidor de comando e controle em uma solicitação HTTP POST. 

Ariel Millahuel criou uma regra Sigma comunitária para detectar as atividades do JSOutProx RAT (detecção Sysmon): https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto, Evasão de Defesa, Persistência

Técnicas: Arquivos ou Informações Ofuscados (T1027), Chaves de Registro de Execução / Pasta de Inicialização (T1060), Desligamento/Reinicialização do Sistema (T1529)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.