標的型攻撃に使用されるAZORultトロイの木馬

先週、Zscaler ThreatLabZの研究者たちは レポート 中東の供給チェーンと政府部門を標的とする大規模なキャンペーンについて発表しました。サイバー犯罪者はアブダビ国営石油会社（ADNOC）の従業員を装ったフィッシングメールを送信し、ターゲットにAZORultトロイの木馬を感染させました。

キャンペーン 中東の組織を対象として

敵対者は、ADNOCが4月に解約した契約をおとりとして使用し、交渉が積極的に進められ、新しい契約が締結される中で機会を見出しました。

キャンペーンは7月に始まり、石油とガス部門の供給チェーン関連の複数の組織が、正当なように見えるPDFファイルを添付したフィッシングメールを受け取りました。これらのPDFには、悪意のあるZIPアーカイブをホストしている正当なファイル共有サービスへのリンクが含まれていました。アーカイブには、ターゲットシステムにAZORultトロイの木馬をダウンロードして展開するドロッパーが含まれています。

AZORultは4年以上前から知られている商用マルウェアであり、このキャンペーンを既知の脅威アクターに帰属させるのは難しいです。このトロイの木馬は情報窃取機能を持ち、さらに追加ツールをインストールし、感染システムにRDP接続を許可する隠し管理者アカウントを作成する能力を持っています。

AZORultトロイの木馬の検出

新しいコミュニティ脅威ハンティングSigmaルールが Osman Demir によってリリースされ、ターゲットキャンペーン中に展開されたAZORultトロイの木馬の痕跡を見つけるためのセキュリティソリューションが可能になります。 https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

このルールは以下のプラットフォーム向けに翻訳されています：

SIEM：Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR：Carbon Black, Elastic Endpoint

MITRE ATT&CK：

戦術： 回避、防御、持続性

技術：ホストのインジケータ除去 (T1070), レジストリ実行キー / スタートアップフォルダー (T1060)

AZORultマルウェアと関連するドロッパーを検出するコンテンツをさらに見つけるには Threat Detection Marketplace.

SOC Prime TDMを試す準備は整いましたか？ 無料でサインアップ。または Threat Bounty Programに参加して 自分自身のコンテンツを作成し、TDMコミュニティと共有しましょう。