BlackCat（ALPHV）の攻撃検出：ハッカーがマルバタイジングを悪用してマルウェアを拡散し、SpyBoy Terminatorを利用してセキュリティ保護を妨害する

サイバーセキュリティの研究者たちは、新しい悪意ある活動の痕跡を発見し、それが悪名高い BlackCat 別名 ALPHV ランサムウェアギャングに帰属することを確認しました。この敵対的なキャンペーンは、人気のあるWinSCPファイル転送サービスのウェブページを含む、合法的な会社のクローン化されたウェブページを介してマルウェアを配布することを含んでいます。BlackCatは、SpyBoy Terminatorを使用して、アンチマルウェア保護を妨害するために攻撃目的で使用していることも観察されています。

BlackCatの活動を検出する：クローン化されたウェブページを介したマルウェア拡散

BlackCat ランサムウェアのオペレーターたちは、ツールセットに新しい悪意ある機能を追加し続け、効果的な攻撃方法を模索しているため、サイバー防御者は侵入に先んじて耐えるために、信頼できる検出アルゴリズムと脅威インテリジェンスが必要です。最新のBlackCat（ALPHV）キャンペーンに関連する悪意ある活動を検出するためには、SOC Prime Platformで利用可能な専用のSigmaルールのセットをダウンロードしてください。 

すべての検出アルゴリズムは、28のSIEM、EDR、XDR技術に対応しており、 MITRE ATT&CKフレームワーク v12に調整されており、脅威ハンティングの手続きを合理化します。 

「 Explore Detections 」ボタンを押して、BlackCatランサムウェア攻撃検出を目指した厳選されたSigmaルールのバッチを探索してください。すべてのルールには、ATT&CKやCTIの参照などのリッチなメタデータが含まれています。コンテンツの検索中、SOC Primeは「BlackCat」や「ALPHV」や「SpyBoy」といったタグによるフィルタリングをサポートしています。これは、このスポットライトにあるキャンペーン中に使用されたマルウェアサンプルのタイトルに基づいています。

Explore Detections

BlackCatの悪用広告を使ったエントリ経路：新しい攻撃分析

悪名高い ALPHV BlackCat ランサムウェアアフィリエイト は、2021年11月中旬以来、サイバー脅威の領域で注目を集めており、世界中のさまざまな産業セクターをターゲットにしています。また、複数のTTPと攻撃ツールを試しています。 

Trend Microの研究者は、 BlackCatギャングの最近の活動を強調するレポートを発行しました。最新のキャンペーンでは、マルウェア配布者は、オープンソースのWindowsアプリケーションWinSCPのクローン化されたウェブページを介して悪意ある株を広めるために悪用広告手法を利用しています。このハッキング手法では、悪意ある広告を拡散して、感染したユーザーを特定のマルウェアのダウンロードに誘導することを意図しています。 

BlackCatのハッカーは、ターゲットのネットワークへの不正アクセスを行うために認証情報を盗み、バックアップサーバーにアクセスするのを観察されました。また、リモートアクセス管理ユーティリティを活用して、感染したシステムにおける継続性を確立し維持し、SpyBot Terminatorを使用してEDRとウイルス対策を回避しました。 

感染チェーンは、Bing検索エンジンを介して「WinSCPダウンロード」というキーワードを検索することによって開始され、対象ユーザーに悪質な広告が表示され、詐欺サイトに誘導されます。リンクをたどることで、ユーザーは正当なWinSCPサービスのクローン化されたウェブページにリダイレクトされます。ISOファイルを正当なアプリケーションインストーラーとして装ったものをダウンロードすることをクリックすることで、後者が2つの悪意あるファイルを介して感染を拡大します。 setup.exe と遅延ロードされたDLLファイル。

BlackCatは、妥協した環境を発見するための他の敵対的ツールセットも適用しました。これには、Active Directory（AD）環境からの情報収集、特権昇格、認証情報盗難のために使用されるAdFindが含まれます。ギャングは、PowerShellコマンドを活用してユーザーデータを収集し、CSVファイルに保存しました。他のツールの中で、コマンドラインユーティリティのセット、AccessChk64やfindstrのようなもの、そしてPowerShellスクリプトを使用しました。管理者の資格情報を得て特権昇格するために、BlackCatは悪意あるPythonスクリプトを適用しました。また、PsExec、BitsAdmin、curlのようなツールが、他のツールをダウンロードし、侵入環境内を横断するために使われました。 

よく知られた悪用広告のトリックを活用して、BlackCatランサムウェアの運営者は、WinSCPインストーラとして偽装された怪しいウェブサイトを通じて感染を広めました。 SOC Prime Platform を頼りにして、進行中のサイバー攻撃で使用されるあらゆるTTPに対する関連する検出コンテンツを完全に装備してください。最新のすぐに展開可能な行動検出アルゴリズムにアクセスし、ゼロデイ、CTIおよびATT&CK参照、Red Teamツールを含むあらゆるサイバー攻撃または脅威に関連するコンテキストを探索してください。自動の読み取り専用のATT&CKデータ監査によって検出スタックを検証し、盲点を特定し、組織特有のログに基づいて完全な脅威の可視性を確保するために、適時に対処してください。SigmaとATT&CK自動補完を使用してアドホックタスクを簡略化し、クロスプラットフォームクエリ翻訳を自動化し、ChatGPTやグローバルなサイバー防衛コミュニティからサイバー脅威コンテキストを探索して、SOC運用から数秒を節約してください。