BatLoaderマルウェアの検知: 浮上する巧妙なダウンローダー

セキュリティ専門家は、ここ数か月で世界中のインスタンスにますます感染している悪名高いステルスマルウェア「BatLoader」に警告を発している。この悪名高い脅威は、マルウェアダウンローダーとして機能し、被害者のシステムにさまざまな悪意のあるペイロードを落とす。最新のキャンペーンでは、BatLoaderはバンキングトロイの木馬やランサムウェアのサンプル、 情報窃取ツール、およびCobalt Strikeのポストエクスプロイトツールキットを配信することが観察された。

特にBatLoaderは、脅威がレーダーにかからないようにする検出回避機能のセットを取得します。それは、サイバーセキュリティの専門家が悪意のあるキャンペーンを検出し、ブロックするのを防ぐために、バッチおよびPowerShellスクリプトに大きく依存しています。この洗練された攻撃ルーチンは、 Contiランサムウェア and Zloaderバンキングトロイの木馬.

BatLoaderマルウェアの実行を検出

BatLoaderマルウェアのオペレーターが攻撃能力に新たな回避技術を次々と追加する中、サイバー防衛者は組織のインフラストラクチャ内の感染をタイムリーに識別する新しい方法を模索しています。SOC Primeの世界最大で最も高度な共同サイバー防衛プラットフォームは、BatLoaderを検出するための真新しいSigmaルールをキュレーションしています。私たちの能力あるThreat Bounty開発者、 Osman Demir and Sittikorn Sangrattanapitakによって作成されたこれらの検出は MITRE ATT&CK®フレームワーク にマッピングされており、業界をリードするSIEM、EDR、BDP、XDRソリューションと互換性があります。以下のリンクをフォローして関連するSigmaルールに即座にアクセスし、そのサイバー脅威のコンテキストを深堀りしてください。

Powershellの使用による疑わしいBatLoaderマルウェアの実行（cmdline経由）

Osman Demirによって開発されたこのSigmaルールは、悪意あるPowershellコマンドを通じたBatLoaderマルウェアの実行を検出します。この検出は、対応するCommand and Scripting Interpreter（T1059）技術でExecution戦術に対応しています。

Gpg4Winツールによる可能性のあるBatLoaderマルウェアの実行（プロセス作成経由）

Sittikorn Sangrattanapitakによって作成された上記のコンテンツは、BatLoaderマルウェアを通じたGpg4winの展開を検出し、悪意あるペイロードを解読します。このSigmaルールは、User Execution（T1204）およびCommand and Scripting Interpreter（T1059）を主要技術として使用して、Execution戦術を対象としています。

意欲的で困難に立ち向かうThreat HuntersとDetection Engineersは、SigmaとATT&CKのスキルを磨き、新興脅威に対する防御を支援するために、SOC Primeの Threat Bounty Programに触れることができます。このクラウドソーシングイニシアチブに参加することで、サイバーセキュリティの専門家は、ATT&CKにマッピングされた独自のSigmaルールを作成し、それをグローバルなサイバー防衛コミュニティと共有し、貢献に対する定期的な支払いを受け取ることができます。

BatLoader検出のためのSigmaルールに即座にアクセスするには、 Explore Detections ボタンをクリックしてください。MITRE ATT&CKの参照情報、脅威インテリジェンス、実行可能ファイル、および脅威研究のストリームライン化のための軽減策を含む包括的なサイバー脅威のコンテキストを詳しく掘り下げてください。

Explore Detections

BatLoader分析

最初に公開され、 2022年2月にMandiantによって 分析され、BatLoaderは進化し続け、サイバーセキュリティの実践者にとって大きな脅威となっています。

最新の 調査 によると、VMware Carbon Blackは、BatLoaderマルウェアが一連の洗練された機能を活用して、無防備な被害者にステルスに感染し、第二段階のペイロードを彼らの機械にドロップすることを明らかにしました。最新のBatLoaderの被害者には、ビジネスサービス、金融、製造、教育、小売、IT、医療分野の組織が含まれています。

主に、BatLoaderオペレーターは、検索エンジン最適化（SEO）ポイズニングを利用して被害者を偽のウェブサイトに誘導し、マルウェアをダウンロードさせようとします。例えば、最新の BatLoaderキャンペーン では、被害者はLogMeIn、Zoom、TeamViewer、AnyDeskなどの人気ソフトウェアのダウンロードページに見せかけた偽のページに誘導されました。マルウェアオペレーターは、検索エンジンの結果に積極的に表示される偽の広告を介してこれらの悪意のあるページへのリンクをプッシュしました。オペレーティングシステムのバイナリを活用することは、特に攻撃開発の初期段階でキャンペーンの検出とブロックを困難にします。

感染後、BatLoaderは、被害者のネットワークに足場を得るためにバッチおよびPowerShellスクリプトに依存しています。特に、BatLoaderには、ターゲットとされたマシンが企業用か個人用かを特定し、それぞれに対応する第二段階ペイロードをドロップする組み込みロジックがあります。企業環境では、BatLoaderは通常、Cobalt StrikeやSyncroリモートモニタリングおよび管理ユーティリティなどの侵入ツールを適用し、一方でマルウェアが個人のコンピュータに侵入した場合には、情報窃取やバンキングトロイの木馬のペイロードを進めます。

特に、BatLoaderキャンペーンは、ContiランサムウェアやZloaderバンキングトロイの木馬などの他の悪名高い悪意のあるサンプルといくつかの類似点を示しています。Contiとのオーバーラップには、Contiがその Log4jキャンペーン で適用したのと同じIPアドレスを利用することや、リモート管理ツールAteraを使用することが含まれます。そして、Zloaderと共に、このマルウェアは、主にSEOポイズニング技術、PowerShell＆バッチスクリプト、およびその他のネイティブOSのバイナリの使用という同じ感染手法を共有しています。

攻撃者を先回りし、SOC PrimeプラットフォームのキュレートされたSigmaルールで悪名高い脅威を積極的に検出してください。現在および新たな脅威のための検出はすぐ手元にあります！詳細は https://socprime.com/.