Detecção ROKRAT: Malware Adota Novos Métodos de Implantação Dependendo de Grandes Arquivos LNK
Índice:
Os adversários estão constantemente procurando maneiras novas de superar as proteções de segurança. Após a Microsoft começar a bloquear macros para documentos do Office por padrão no ano passado, os cibercriminosos adaptaram seus métodos de implantação para escapar da defesa. O APT37 segue essa grande tendência, usando arquivos de atalho do Windows (LNK) para proceder com sucesso com as campanhas ROKRAT (também conhecidas como DOGCALL).
Detectar Ataques de Malware ROKRAT
Os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para proteger ativos organizacionais críticos e identificar possíveis intrusões em tempo hábil. A Plataforma SOC Prime oferece um conjunto de regras Sigma para detectar as campanhas ROKRAT mais recentes.
Esta regra de detecção criada por Mustafa Gurkan KARAKAYA, um desenvolvedor experiente do Threat Bounty, identifica a execução do malware ROKRAT através de um arquivo DLL malicioso pela linha de comando associada. A regra é compatível com 23 soluções SIEM, EDR e XDR, e está mapeada para o framework MITRE ATT&CK® , abordando especificamente a tática de Execução e a técnica de Interpretação de Comandos e Scripts (T1059).
Você está ansioso para colocar suas habilidades de engenharia de detecção e caça de ameaças em prática, enquanto também torna o mundo um lugar mais seguro? Junte-se ao Threat Bounty Program da SOC Prime e publique suas regras Sigma no maior mercado de detecção de ameaças. Tornando-se membro da nossa iniciativa de crowdsourcing, você pode aprimorar seu currículo futuro e se conectar com especialistas da indústria, enquanto também recebe benefícios financeiros por suas contribuições.
Clique no Explore Detections botão abaixo para acessar a lista completa de regras Sigma para detectar o malware ROKRAT. Todas as regras Sigma são enriquecidas com inteligência relevante sobre ameaças cibernéticas, fornecendo um contexto abrangente dos ataques e padrões de comportamento do adversário para otimizar sua investigação.
Analisando Nova Cadeia de Infecção do ROKRAT
Para acompanhar a superfície de ataque em constante mudança, o ator de estado-nação APT37 adotou novos métodos de implantação para sua amostra maliciosa principal ROKRAT.
O backdoor ROKRAT é frequentemente utilizado para dumping de credenciais, roubo de informações, execução de comandos e shellcode, entre outros. Desde julho de 2022, especialistas em segurança têm observado uma mudança de macros maliciosas para grandes arquivos LNK usados para iniciar a cadeia de infecção em várias etapas do ROKRAT. Notavelmente, a mesma abordagem foi aplicada em outros ataques do APT37 resultando na implantação do malware GOLDBACKDOOR personalizado e do Amadey comum.
As campanhas mais recentes do ROKRAT estão amplamente focadas em instituições do setor público sul-coreano, que é um alvo tradicional de interesse para o APT37. Este coletivo de hackers é afiliado ao Ministério de Segurança do Estado da Coreia do Norte e está ativo desde pelo menos 2012. A partir de 2017, os adversários expandiram seu foco além da Coreia do Sul exclusivamente, agora buscando vítimas globalmente. Os setores afetados incluem, mas não se limitam a, fabricação, eletrônicos, saúde e verticais da indústria automotiva.
À medida que as superfícies de ataque se tornam mais complexas, as organizações estão buscando métodos para detectar ameaças emergentes rapidamente e proteger sua infraestrutura de possíveis intrusões. A SOC Prime oferece conteúdo de detecção abrangente que aborda as ameaças de malware mais recentes, garantindo que sua organização esteja totalmente equipada para se antecipar aos adversários. Visite https://socprime.com/ para saber mais sobre ameaças emergentes ou alcance aquelas adaptadas ao perfil de ameaças da sua organização com assinatura On Demand em https://my.socprime.com/pricing.
