Conteúdo de Caça a Ameaças: Botnet Devil Shadow

[post-views]
Junho 01, 2020 · 2 min de leitura
Conteúdo de Caça a Ameaças: Botnet Devil Shadow

Hoje em dia, durante o confinamento, muitas organizações continuam a usar o Zoom em nível corporativo para realizar reuniões por videoconferência, apesar dos problemas de segurança encontrados neste aplicativo. Os atacantes têm explorado o aumento da popularidade deste aplicativo há vários meses, e você pode proteger parcialmente sua organização de ataques ao fortalecer o serviço Zoom. Mas isso não resolverá completamente o problema, já que os cibercriminosos podem enviar links para malware aos usuários em vez do instalador do Zoom, e agora eles escondem malware em instaladores falsos, que executam a versão legítima do instalador do Zoom para evitar suspeitas. Esses instaladores são maiores e executam mais lentamente do que um arquivo legítimo, mas o usuário comum provavelmente não prestará atenção a isso. Dessa forma, os atacantes estão agora distribuindo o Devil Shadow Botnet.

Usando este botnet, os cibercriminosos podem espionar as vítimas via webcam, tirar capturas de tela e usar um módulo keylogger para coletar credenciais e outras informações sensíveis para os próximos passos do ataque.

Os participantes do SOC Prime Threat Bounty Program responderam rapidamente a esta ameaça e publicaram duas regras Sigma comunitárias para descobrir vestígios do Devil Shadow Botnet. As regras são bastante diferentes e cobrem diferentes técnicas do MITRE ATT&CK.

Fake ZOOM Installer.exe (Devil Shadow Botnet) por Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet Hidden in Fake Zoom Installers por Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Execução, Escalonamento de Privilégios, Acesso a Credenciais, Persistência, Evasão de Defesa, Comando e Controle

Técnicas: Execução de Usuário (T1204), Hooking (T1179), Módulos e Extensões de Kernel (T1215), Injeção de Processo (T1055), Empacotamento de Software (T1045), Porta Incomumente Usada (T1065)

Mais regras para detectar ataques relacionados ao Zoom: https://tdm.socprime.com/?searchValue=zoom

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Resumo do SOC Prime Threat Bounty — Resultados de Setembro de 2024
Blog, Plataforma SOC Prime — 4 min de leitura
Resumo do SOC Prime Threat Bounty — Resultados de Setembro de 2024
Alla Yurchenko
Resumo do SOC Prime Threat Bounty — Resultados de Junho de 2024
Blog, Plataforma SOC Prime — 5 min de leitura
Resumo do SOC Prime Threat Bounty — Resultados de Junho de 2024
Alla Yurchenko
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Ameaças Mais Recentes, Blog — 3 min de leitura
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Anastasiia Yevdokimova