Durante el mes de marzo, el equipo de Threat Hunting de Alpine identificó varias campañas maliciosas contra organizaciones españolas con el objetivo de infectarlas con el RAT AsyncRAT de código abierto. Esta RAT, lanzado en 2019 y utilizado habitualmente por varios actores de amenazas, tiene la capacidad de ejecutar todo tipo de acciones ofensivas en el equipo infectado: Keylogger, grabación de pantalla, exfil, etc.
En los TTP observados, el actor envía un .js ofuscado a las víctimas con el pretexto de ser una factura.
El javascript, ejecutado mediante WScript, sirve como Dropper Para descargar el siguiente stage haciendo uso de PowerShell usando el Lobín "conhost—headless".
Una defensa eficaz para identificar la fase de escalado empleado en este tipo de campaña es monitorizar la combinación de conhost y el —argumento headless. Vea, por ejemplo, lo siguiente Query KQL.
DeviceProcessEvents
| where ProcessCommandLine contains "conhost" andProcessCommandLine contains "--headless" and ProcessCommandLinecontains "powershell"
| project Timestamp,ActionType,FileName,ProcessCommandLine 
IOC:
- fuau4z3a [.] arriba
- mints1fuau4z3a [.] top
- http://eventoscasacordillera[.]Cl
- Guión: _factura_01981865434_PDF.js
- SHA17: ca093a76131ad56bf11a520a512c2d1cfd222fd
share this post
subscribe
Related posts
