キューバランサムウェア検出：トロピカルスコーピウスの脅威アクターが標的型攻撃で新たなRATマルウェアを展開

注目を集めるランサムウェア攻撃 は、2021年から2022年にかけて、サイバー脅威アリーナでの成長傾向を示しています。ランサムウェアのアフィリエイトの大半は、さまざまなランサムウェア・アズ・ア・サービス（RaaS）プログラムに関わっています。 2022年5月、サイバーセキュリティ研究者たちは、トロピカル・スコーピウスとして追跡されているハッキンググループの悪意ある活動に起因するキューバランサムウェアを展開する新しい対抗キャンペーンを発見しました。これらの最新の攻撃では、脅威アクターは新しいTTPを適用し、ROMCOM RATと呼ばれる新しいマルウェアを使用することで、彼らの対抗ツールキットを強化し、KerberCacheと知られるケルベロスツールや洗練されたローカル特権昇格ツールを使用しています。

キューバランサムウェアを検出する

ランサムウェアの情勢がより高度なTTPで豊かになるにつれ、サイバーセキュリティ実務者は増大する脅威に対抗するために攻撃者より一歩先を目指しています。 SOC Primeの検出コードプラットフォームは、新たにリリースされた に対応しています。 歌詞を提供しており、業界をリードするSIEM、EDR、およびXDRソリューション全体で使われ、. 

以下のリンクをたどることで、SOC Primeのサイバー脅威検索エンジンから専用Sigmaルールにすぐにアクセスし、関連するコンテキスト情報を調べることができます。これらの検出演算は、プロリフィックな脅威バウンティプログラムの開発者によって作成されており、その中には ナッタートーン・チュエンガサンガルン, オヌール・アタリ、および アウン・キョウ・ミン・ナイン（N0lan）がいます。 SOC Primeの脅威バウンティプログラムに参加することで、検出エンジニアや脅威ハンターは、プロフェッショナルスキルを活かして収入を得たり、業界の専門家からの評価を受けたりする機会を得ることができます。

プロセス作成を通じてのカーネルドライバをファイルシステムに設定することによるキューバランサムウェアの防御回避の可能性

このキュレーションされたハンティングクエリは、ナッタートーン・チュエンガサンガルンによって開発され、ApcHelper.sysという名前のカーネルドライバをファイルシステムに書き込むローダーを利用する疑わしいキューバランサムウェアの活動を検出します。この検出は、実行および影響を与えるATT&CK戦術に対応し、対応するCommand and Scripting Interpreter（T1059）およびService Stop（T1489）技術を備えています。

プロセス作成を通じての関連するコマンドの検出によるキューバランサムウェアの実行の可能性

オヌール・アタリによって作成されたこの脅威ハンティングクエリは、関連するコマンドの検出によるキューバランサムウェアの実行を特定し、C2サーバーにファイルを転送するためにマルウェアが使用する悪意のあるDLLファイルを検索します。Sigmaルールは、以下の敵対戦術に対応しています。

• 実行 — Command and Scripting Interpreter（T1059）およびUser Execution（T1204）を含む対応するATT&CKテクニック
• 影響 — 影響のためのデータ暗号化（T1486）およびディスクワイプ（T1561）が主要な技術として使用されます。

cuba-ransomware-tropical-scorpiusの可能な検出

この脅威ハンティングSigmaベースのルールは、Tropical Scorpiusグループの敵対行為を検出し、リモートアクセスTrojan C2サービス実行パスの使用を含んでいます。上記の検出は、PersistenceおよびExecution戦術に対処し、Create or Modify System Process（T1543）およびSystem Services（T1569）の適切なテクニックを使用しています。

現在のキューバランサムウェア攻撃と新たな攻撃に対抗するために、 Detect & Hunt ボタンをクリックして、専用のSigmaルール全コレクションにアクセスしてください。スムーズな脅威調査のために、登録されていないSOC Primeユーザーもまた Threat Contextを探る ボタンをクリックして、MITRE ATT&CKおよびCTIリファレンスなどに伴うキューバランサムウェア検出用のコンテキストリッチな検出アルゴリズムのリストにアクセスしてください。

Detect & Hunt Threat Contextを探る

キューバランサムウェアの説明

最新の Unit 42脅威インテリジェンスチームによる研究に基づくと、キューバランサムウェアファミリーは2019年末に登場しました。キューバランサムウェア（COLDDRAWとも呼ばれる）は、最初は悪意のある添付ファイルを通じて影響を受けたシステムに落とされることが一般的でした。 ハンシター マルウェアを介して広まりました。Tropical Scorpiusの仮名を使用しているキューバランサムウェアの管理者も、UNC2596として知られるように、Microsoft Exchange Serverの脆弱性を利用して追跡されています。 ProxyShell およびProxyLogon。それから2021年に、キューバランサムウェアの管理者は再出現し、 SystemBC バックドアをMalwareキャンペーンに導入し、DarkSideやRyukなどの他の悪名高いRaaSコレクティブと共に行動しました。

2019年にまで遡るこのグループの悪意あるキャンペーンの過程で、Tropical ScorpiusのハッカーはTTPを進化させ、2022年にはより深刻な脅威に変貌しました。 サイバーセキュリティ研究者 によれば、前述の脅威アクターは、セキュリティ製品を対象としたカーネルドライバローダーの使用を含む、高度な解析回避ツールと技術を利用していることが明らかになっています。その上、最新のキューバランサムウェア攻撃には、Systemトークンを盗むことを目的としたPowerShellコードの手段でリモートサーバからダウンロードされたローカル特権昇格ツールの使用が含まれ、Windows共通ログファイルシステム（CLFS）ロジックの脆弱性を利用します。 CVE-2022-24521. 

キューバランサムウェアの開発者はまた、システム偵察活動のための複数のツールを活用しており、短い名前でそれらをドロップして検出を回避しています。認証情報ダンプのための人気のハックツールであるMimikatzを使用する以外に、Tropical Scorpiusの脅威アクターは、KerberCacheとして追跡される新しいカスタムケルベロスツールを適用し、悪名高いZeroLogonユーティリティを利用して CVE-2020-1472 セキュリティ欠陥を悪用し、ドメイン管理者権限を獲得します。

最新のキューバランサムウェアの運用を示す対抗ツールキットには、ROMCOM RATというカスタムリモートアクセスTrojan（RAT）も含まれており、独自のC2プロトコルがあります。

2022年を通じてより高度なキューバランサムウェア攻撃が増加する傾向は、攻撃者より一歩先を行くためにプロアクティブな検出戦略の実施の必要性を強調しています。 SOC PrimeのDetection as Codeプラットフォームに参加することで、サイバー防御者は脅威検出能力を強化し、脅威ハンティングの速度をより迅速かつ効率的に加速できます。サイバーセキュリティの愛好家は、 SOC Primeの脅威バウンティプログラム Detection Engineeringスキルを磨くために、SigmaおよびYARAルールを作成し、業界の仲間と共有し、貢献に対して金銭的利益を得ることができます。