Detecção do NIGHT SPIDER Zloader: Defenda-se Contra Atividades Maliciosas de Trojan com SOC Prime

[post-views]
Março 17, 2022 · 4 min de leitura
Detecção do NIGHT SPIDER Zloader: Defenda-se Contra Atividades Maliciosas de Trojan com SOC Prime

O trojan Zloader da NIGHT SPIDER tem operado silenciosamente nos últimos meses em escala global, conduzindo uma campanha de intrusão em várias empresas de diversas indústrias.

A principal forma de instalar malware estava escondida dentro do software legítimo. Para aproveitar o acesso inicial, os atacantes usaram pacotes .msi de instaladores. As cargas foram destinadas ao reconhecimento. Apesar de utilizarem as técnicas conhecidas, as especificações técnicas mais precisas dos scripts maliciosos foram renovadas novamente. Os desenvolvedores de conteúdo da SOC Prime imediatamente estudaram as novas variantes de malware desenvolvidas pela NIGHT SPIDER e criaram regras de detecção que identificam a atividade dos adversários o mais cedo possível.

Campanha Zloader da NIGHT SPIDER

A nova regra baseada em Sigma fornecida pelo nosso desenvolvedor de Threat Bounty Sittikorn Sangrattanapitak detecta atividades suspeitas da Night Spider pelo uso da utilidade adminpriv.exe tentando manipular valores de registro, que tem sido o padrão de comportamento dos adversários durante a Campanha Zloader em março de 2022.

Uso de adminpriv da Campanha Zloader da NIGHT SPIDER Manipular Valores de Registro (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender para Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

Uso de adminpriv da Campanha Zloader da NIGHT SPIDER Manipular Valores de Registro (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender para Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

As regras estão alinhadas com o último quadro MITRE ATT&CK® v.10, abordando a técnica do Interpretador de Comando e Script.

Além disso, você pode verificar a lista completa de regras destinadas à detecção do Trojan Zloader que estão atualmente disponíveis na plataforma SOC Prime. Sente que tem expertise suficiente no assunto? Então você pode compartilhar seu próprio conteúdo de detecção com nossa comunidade global de profissionais de cibersegurança no Programa de Threat Bounty e receber recompensas recorrentes por sua contribuição.

Ver Detecções Participar do Threat Bounty

Análise do Zloader da NIGHT SPIDER

De acordo com a inquérito da CrowdStrike , para executar o trojan Zloader da NIGHT SPIDER, os instaladores de malware iniciais fingem ser aqueles que usam hashes legítimos de softwares amplamente utilizados como Zoom, TeamViewer, JavaPlugin ou Brave Browser. Uma vez executados, esses instaladores baixam cargas de reconhecimento automatizadas via o trojan Zloader, e em vários casos, Cobalt Strike.

Comandos do PowerShell foram utilizados pela utilidade wscript para iniciar um download remoto da carga da NIGHT SPIDER. Esses scripts também utilizaram PowerShell para evadir a Interface de Verificação Antimalware da Microsoft e o Windows Defender. Em seguida, a utilidade adminpriv ajudou os atacantes a alterar os valores de registro. A carga foi descriptografada aproveitando os valores de hash do software legítimo.

As organizações estão se esforçando para detectar o trojan Zloader da NIGHT SPIDER e ameaças similares o mais cedo possível para evitar danos significativos aos seus sistemas e redes. A defesa cibernética colaborativa é a opção mais rápida e eficiente para as equipes SOC que desejam estar cientes do conteúdo de detecção mais recente sem gastar muito tempo e recursos com pesquisa e desenvolvimento. Explore a plataforma Detection as Code da SOC Prime para acessar as regras SIGMA de mais alta qualidade juntamente com traduções para mais de 20 formatos SIEM, EDR e XDR específicos de fornecedores. A detecção precisa e oportuna é fundamental para organizar um SOC eficiente 24/7/365 enquanto seus engenheiros podem assumir tarefas mais avançadas. Detection as Code platform to access the highest-quality SIGMA rules along with translations to more than 20 vendor-specific SIEM, EDR, and XDR formats. Accurate and timely detection is key to organizing efficient SOC 24/7/365 while your engineers can take up more advanced tasks.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias