Detecção do Bot ModernLoader: Espalha-se via Cartões de Presente Amazon Falsos, Compromete Usuários na Europa Oriental
Índice:
ModernLoader bot, também conhecido como Avatar bot, é um trojan de acesso remoto .NET com capacidades de baixar e executar arquivos do servidor C&C, coletar informações do sistema e executar instruções arbitrárias. Com o controle remoto fornecido pelo malware, os atores de ameaça utilizam a rede invadida para propagação de botnet.
A cadeia de evidências sugere que esses ataques podem ser atribuídos a um novo grupo de cibercriminosos russos que têm como alvo usuários na Polônia, Hungria, Bulgária e Rússia. Adversários exploram vulnerabilidades no WordPress e CPanel, atraindo usuários para baixar implantes maliciosos disfarçados de certificados de presente da Amazon.
Detectar Bot ModernLoader
Para defender-se proativamente contra o ModernLoader RAT, a SOC Prime lançou uma regra Sigma desenvolvida pelo perspicaz Threat Bounty Program contribuidor Aykut Gürses:
Detecção de Tarefa Agendada de mineradores de cripto e RATs do ModernLoader (via cmdline)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix e Open Distro.
A regra está alinhada com a estrutura MITRE ATT&CK® v.10, abordando a tática de Execução com Tarefa/Trabalho Agendado (T1053) como a técnica principal.
Profissionais de segurança aspirantes que buscam acompanhar as últimas tendências que moldam o cenário atual de ameaças cibernéticas se beneficiarão do primeiro Motor de Busca de Ameaças Cibernéticas da indústria. Pressione o botão Explorar Contexto da Ameaça para navegar instantaneamente pelo conjunto de ameaças relacionadas a RAT e algoritmos de detecção recentemente lançados, explorando informações contextuais relevantes em um único lugar. Tanto profissionais de segurança aspirantes quanto experientes que buscam acompanhar as últimas tendências que moldam o cenário atual de ameaças cibernéticas se beneficiarão de explorar a vasta biblioteca de conteúdo que é constantemente atualizada com peças verificadas, agora alcançando mais de 200.000 detecções enriquecidas com contexto. Explore os planos de assinatura disponíveis pressionando o botão Escolha um Plano . Fique à frente dos adversários sem complicações!
Explorar Detecções Escolha um Plano
Campanha de Distribuição do ModernLoader
A equipe de pesquisa da Cisco Talos detectou uma onda massiva de distribuição de malware no período de março a junho de 2022. Com base nos ataques observados e nos relatórios de notícias, é possível destacar três campanhas de distribuição de malware, espalhando ModernLoader RAT, malware ladrão de informações RedLine , e mineradores de criptomoedas. Os invasores utilizam PowerShell, assemblies .NET, e arquivos HTA e VBS para mover-se lateralmente pelas redes comprometidas, liberando cargas maliciosas adicionais. Esses ataques expõem organizações globais em vários setores da indústria a riscos severos.
O ator de ameaça por trás das campanhas listadas está usando ferramentas prontas para uso; os pesquisadores consideram isso um indicador da falta de habilidades técnicas do ator criminal para projetar suas próprias ferramentas.
Em 2022, espera-se que o número de ciberataques em todo o mundo supere os recordes dos anos anteriores. Praticamos o modelo Follow the Sun (FTS), garantindo resposta oportuna a ameaças habilitada por líderes do setor de locais em diferentes fusos horários, para que nossos clientes possam obter os melhores resultados com a abordagem inovadora de Detecção como Código. Fique à frente dos adversários com soluções abrangentes criadas por líderes do setor da SOC Prime.
