Conteúdo de Caça a Ameaças: Detecção do DropboxAES RAT

Hoje queremos contar sobre o trojan DropboxAES usado pelo grupo APT31 em campanhas de espionagem cibernética e também dar um link para a regra Sigma da Comunidade para detectar este malware.

Em geral, o DropboxAES não se destaca do resto dos trojans de acesso remoto. Esta é uma ferramenta relativamente nova no arsenal do APT31 (também conhecido como BRONZE VINEWOOD). O malware deve seu nome ao uso do serviço de compartilhamento de arquivos Dropbox para suas comunicações de comando e controle. O grupo APT31 anteriormente implementou o trojan com o malware HanaLoader, mas mais sobre isso em nossos próximos posts no blog. O loader usa a técnica DLL Search Order Hijacking para executar a carga final. O RAT DropboxAES permite que os adversários enviem arquivos do host infectado para o servidor C&C, baixem arquivos do servidor C&C para o host infectado, executem comandos no host infectado via um shell reverso baseado em linha de comando não interativa, enviem informações básicas do sistema sobre o host comprometido para o servidor C&C e se removam completamente do sistema infectado.

Pesquisadores descobriram o trojan em uma campanha direcionada a organizações de advocacia, consultoria e desenvolvimento de software. Eles acreditam que os atacantes estão interessados em cadeias de suprimentos governamentais ou de defesa. 

APT31 como um ator de ameaça chinês especializado em roubo de propriedade intelectual, focando em dados e projetos que tornam uma organização competitiva em seu campo. 

Ariel Millahuel lançou uma nova regra de caça a ameaças que descobre a presença deste malware persistente na rede da organização: https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Persistência

Técnicas: Chaves de Registro/ Pasta de Inicialização (T1060)