Babadeda クリプターの検出
目次:
Babadeda に会いましょう。これは、脅威アクターの兵器庫にある新しい悪名高いクライプターです。このマルウェアは、2021年5月以降から敵対者によってセキュリティ保護を突破し、無防備な被害者にさまざまな脅威を密かに配信するために積極的に利用されています。Babadeda の助けを借りて、複数の情報スティーラーおよびリモートアクセス型トロイの木馬 (RAT) が展開されています。さらに、LockBit の管理者もランサムウェアペイロードを難読化し、成功する感染を続行する方法として信頼性のある方法として使用しました。
Babadeda クライプターとは?
Babadeda は、クライプターのファミリーにおける新しいサンプルであり、脅威アクターが悪意のあるサンプルを暗号化し難読化することを可能にします。この難読化は、マルウェアが警告を発生させることなく大多数のアンチウイルス保護を回避することを可能にします。研究者の分析によれば、Babadeda は非常に低い検出率を示し、複雑で高度な難読化を利用しています。
クリプト、NFT、DEFIコミュニティの危機
Babadeda のサンプルを初めて野外で発見した Morphisec のセキュリティ研究者が 報告 しました。特に Babadeda のアクターは、NFT および暗号ゲーム市場のブームを利用して、金持ちのアフィリエイトをターゲットにし、暗号ウォレットや NFT 資産の資格情報を盗むことを目的とした大規模なキャンペーンが進行中です。
攻撃の連鎖は、NFT のドロップや暗号通貨のホットニュースに専念するディスコードチャンネルから始まります。ハッカーはディスカッションに参加し、潜在的な被害者に新しいゲームまたはアプリケーションをダウンロードするよう促すプライベートメッセージを送信します。一部の場合、Babadeda のアクターは既存のブロックチェーンプロジェクト、例えば「Mines of Dalarna」などを偽装します。
被害者が悪意のあるリンクに従うよう騙されると、自称暗号ゲームを提供するデコイウェブサイトにたどり着きます。「今すぐダウンロード」ボタンをクリックすると、Babadeda クライプターを含む悪意のあるインストーラーがバックグラウンドでダウンロードされ、実行されます。そのインストーラーはさらに感染ステージを引き起こし、Remcos または BitRAT の暗号化されたペイロードをドロップします。
Babadeda クライプターの検出
Babadeda の感染を検出し、侵入に対抗するために、セキュリティプラクティショナーは、SOC Prime プラットフォームによって提供される Threat Detection Marketplace リポジトリから利用可能なコミュニティ Sigma ルールをダウンロードすることができます。
Babadeda クライプターは暗号通貨 NFT と DeFi プラットフォームをターゲットにしています(プロキシ経由)
この検出は、私たちの Threat Bounty 開発者である Sittikorn Sangrattanapitakによって書かれており、Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Qualys, Open Distro, Securonix などの SIEM & XDR プラットフォームに翻訳されています。
このルールは、MITRE ATT&CK® フレームワーク v.10 に対応し、最初のアクセス戦術とフィッシング (T1566)、難読化されたファイルまたは情報 (T1027) 技術に対応しています。
BABADEDA クライプターはクリプト、NFT、DeFi コミュニティをターゲットにしています
この検出は、私たちの Threat Bounty 開発者である Nattatorn Chuensangarunによって提供されており、Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Open Distro, Securonix などの SIEM & XDR プラットフォームに翻訳されています。
このルールは、MITRE ATT&CK® フレームワーク v.10 に対応し、防御回避戦術およびプロセスインジェクション (T1055) 技術に対応しています。
SIEM、EDR、NTDR ソリューションで使用可能な最高の SOC コンテンツを検索していますか? SOC Prime の Detection as Code プラットフォームを活用して、カスタムユースケースに対応し、脅威発見と脅威ハンティングを強化し、チームの進捗を完全に可視化します。脅威ハンティングに情熱を持ち、業界初の SOC コンテンツライブラリへの貢献を希望していますか? Threat Bounty Program に参加しましょう!
