AsyncRAT Campaigns Feature 3LOSH Crypter That Obfuscates Payloads

進行中のマルウェア配布キャンペーンは、AsyncRATを含む3LOSHクリプターを公開リポジトリに広めています。最近のサイバーセキュリティ 研究 では、対策を逃れるために企業環境のデバイス上で使用されている最新の3LOSHのバージョンを分析しています。AsyncRATの他に、多くのコモディティマルウェアの株が同じオペレーターによって配布される可能性があります。クリプターの使用の急増の目的は、RATの運用効率を高め、その結果、機密データを流出させることです。

セキュリティアナリストは、3LOSHクリプターのようなツールの複雑性が継続的に更新および改善される中で、さまざまな脅威アクターによってサイバー攻撃が利用される可能性があることを組織に警告しています。最新の3LOSHクリプター活動を特定するための新しい検出を以下でご覧ください。

3LOSHビルダー/クリプター 検出

私たちの優れた脅威バウンティ開発者である Kyaw Pyiyt Htet によって書かれた新しいSigmaベースの検出ルールは、特定の悪意のあるファイルの存在に基づいて3LOSHの可能な実行を認識します。

悪意のあるファイルの検出による疑わしい3LOSH（AsyncRAT）RAT実行（file_event）

このルールは、Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、Devo、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Qualys、AWS OpenSearchのようなセキュリティソリューションに自動変換できます。

Sigmaルールは、最新のMITRE ATT&CK®バージョンにマップされており、実行戦術とコマンドおよびスクリプトインタープリタ技術（T1059）に対応しています。

AsyncRATおよび3LOSHの旧バージョンは脅威インテリジェンススペシャリストによって以前に発見されているため、以前の検出をご利用いただき、脅威ハンティングルーチンに追加すべき内容がないかご確認ください。もし独自のサイバー脅威検出アプローチを持ち、専門知識を世界と共有することを求めるのであれば、クラウドソーシングイニシアティブに参加することをお勧めします。

検出を見る 脅威バウンティに参加する

AsyncRATペイロード および3LOSH分析

AsyncRATによって利用される多段感染プロセスは、ISOファイルから実行されるVBScriptコードから始まります。VBSは、その内容に冗長データを使用してコードを難読化し、文字列置換の助けを借りて実行します。コードの難読化を解いた後、このVBSはC&Cサーバーに接続し、RAT実行の次の段階を有効にするためのPowerShellスクリプトを取得します。

これらの段階の間に、マルウェアはさまざまなディレクトリの場所を選択し、機能的には同等である様々なファイル名を使用するかもしれません。最終的には、スクリプトは被害者のシステムをスキャンし、一般的なもののような場所にマルウェアの作業ディレクトリを作成します。 C:ProgramDataFacebookSystem32MicrosoftSystemData.

その後、追加のスクリプトが作成され、”Office.vbs”ファイルの実行をトリガーし、感染プロセスの次のステップに進みます。ほとんどのRATの目的はこの第三段階で実行されます。例えば、永続性を確立するために、別のPowerShellスクリプトが新しいスケジュールされたタスクを「Office」という名前で作成し、2分ごとに実行されます。最終ペイロードはさまざまですが、分析されたサンプルのほとんどはAsyncRATとLimeRATでした。

研究者たちは結論付けています。 3LOSHクリプターはマルウェアクリプターです。 現在活発に開発されており、様々なコモディティRATに埋め込まれて広められています。したがって、有効な検出戦略には、最終的なペイロードとは無関係にクリプターを特定できる能力が含まれているべきです。SOC PrimeのDetection as Codeプラットフォームに参加して、新しい検出コンテンツに関する最新情報を常に更新し、現在の脅威について最新情報を把握してください。