Durant el mes de març, l'equip de Threat Hunting d'Alpine ha identificat diverses campanyes malicioses contra organitzacions espanyoles amb l'objectiu d'infectar-les amb el RAT AsynCRAT de codi obert. Aquest RAT, llançat el 2019 i utilitzat habitualment per diversos Threat-Actors, té capacitats per executar tot tipus d'accions ofensives a l'ordinador compromès: Keylogging, gravador de pantalla, exfil, etc.
En les TTPs observades, l'actor d'amenaça envia un.js ofuscat a les víctimes amb el pretext de ser una factura.
El javascript, executat a través de WScript, serveix com a dropper per descarregar el següent stage fent ús de PowerShell utilitzant el Lolbin “conhost — headless“.
Una defensa eficaç per identificar la fase de stage en aquest tipus de campanyes és fer un seguiment de la combinació de conhost i el argument —headless. Vegeu, per exemple, el següent Query KQL.
DeviceProcessEvents
| where ProcessCommandLine contains "conhost" andProcessCommandLine contains "--headless" and ProcessCommandLinecontains "powershell"
| project Timestamp,ActionType,FileName,ProcessCommandLine 
IOC:
- fuau4z3a [.] superior
- mints1fuau4z3a [.] superior
- http://eventoscasacordillera[.]Cl
- Script:_Factura_01981865434_pdf.js
- SHA 1:7ca093a76131ad56bf11a520a512c2d1cfd222fd
share this post
subscribe
