Detecção de Ataque MULTI#STORM: Uma Nova Campanha de Phishing Espalhando Múltiplos Cavalos de Tróia de Acesso Remoto e Alvejando os EUA e a Índia
Índice:
Pesquisadores de segurança cibernética alertam os defensores sobre mais uma campanha de phishing denominada MULTI#STORM, na qual hackers abusam de arquivos JavaScript para instalar malware RAT nos sistemas-alvo. A cadeia de ataque MULTI#STORM contém múltiplas etapas, com a última espalhando Quasar RAT and Warzone RAT amostras. De acordo com a investigação, nesta campanha, os atores da ameaça têm como alvo os EUA e a Índia.
Detecção de Ataque MULTI#STORM
A Plataforma SOC Prime para defesa cibernética coletiva permite que as organizações melhorem sua resiliência cibernética, fornecendo soluções econômicas e inovadoras, respaldadas por Sigma e MITRE ATT&CK tecnologias. Para armar os defensores cibernéticos com SOC baseado em comportamento para conteúdo de detecção de ataque MULTI#STORM, a Plataforma SOC Prime seleciona um conjunto de regras Sigma relevantes mapeadas para ATT&CK e compatíveis com as principais tecnologias de SIEM, EDR, XDR e Data Lake.
Clique no Explore Detecções botão abaixo para acessar a lista abrangente de regras Sigma para detectar a nova campanha MULTI#STORM e identificar prontamente qualquer potencial traço de malware RAT na infraestrutura da organização. Todos os algoritmos de detecção são enriquecidos com metadados relevantes, como links ATT&CK e CTI, mitigações e binários correspondentes.
Análise de Ataque de Phishing MULTI#STORM
Pesquisadores de segurança cibernética nos Laboratórios de Ameaças Securonix descobriram uma nova campanha de phishing conhecida como MULTI#STORM que visa principalmente usuários individuais nos EUA e na Índia. A cadeia de infecção começa clicando em um link embutido que leva a um arquivo ZIP protegido por senha localizado no Microsoft OneDrive. Este último contém um arquivo JavaScript ofuscado que, uma vez clicado duas vezes, espalha a infecção ainda mais, aproveitando o carregador baseado em Python, que aplica capacidades e TTPs de atacante semelhantes ao malware DBatLoader. O carregador usado na fase inicial do ataque na campanha MULTI#STORM é responsável por disseminar um conjunto de amostras de malware RAT nos sistemas impactados, e utiliza um conjunto de técnicas avançadas para manter a persistência e evadir a detecção.
Os atores da ameaça primeiro implementam o notório Trojan denominado Warzone RAT, que é capaz de comunicação C2 criptografada, manutenção de persistência e recuperação de senhas, enquanto também aplica um conjunto de técnicas de adversário para evasão de detecção, como funcionalidade de contorno do Windows Defender. Warzone RAT é usado por hackers para roubar dados sensíveis, como cookies e credenciais de navegadores web populares.
Pesquisadores também observaram os traços maliciosos de outra carga útil denominada Quasar RAT após a execução do Warzone RAT na operação MULTI#STORM. Atores da ameaça aplicaram uma porta diferente para comunicação após a execução bem-sucedida do Quasar RAT.
Como medidas de mitigação potenciais, os defensores cibernéticos recomendam monitorar continuamente o uso de links do OneDrive, evitar abrir quaisquer anexos de e-mail suspeitos, particularmente arquivos ZIP, e limitar a execução de binários desconhecidos por meio de atualizações de políticas, além de seguir as melhores práticas de segurança para proteção de segurança de e-mail.
Contexto MITRE ATT&CK
Todas as regras Sigma acima mencionadas são marcadas com ATT&CK fornecendo informações contextuais detalhadas e abordando táticas e técnicas relevantes associadas à campanha MULTI#STORM.
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
Inscreva-se na Plataforma SOC Prime para se equipar com ferramentas de defesa cibernética de ponta que correspondem às suas atuais necessidades de segurança. Explore o maior repositório do mundo com mais de 10 mil regras Sigma para detectar proativamente ameaças emergentes; conte com Uncoder AI para avançar na engenharia de detecção com autocompletar Sigma & ATT&CK, tradução instantânea de consulta bidirecional para mais de 28 formatos de linguagem & contexto de ameaça cibernética detalhado apoiado pela ChatGPT e o poder da inteligência coletiva; ou aproveite o Attack Detective para validar toda a pilha de detecção em menos de 300 segundos, encontrar lacunas de defesa cibernética e efetivamente abordá-las para blindar sua postura de cibersegurança. Esforçando-se para acompanhar as últimas notícias? Junte-se à nossa comunidade de defensores cibernéticos de código aberto no discord.gg/socprime.
