DarkGate マルウェア攻撃検出：Microsoft Teams を介したボイスフィッシングがマルウェア配布につながる

研究者たちは、音声フィッシング（vishing）を用いて拡散する新しい悪意のあるキャンペーンを発見しました。 DarkGateマルウェア。この攻撃では、敵対者がMicrosoft Teamsの通話で既知のクライアントを装い、被害者を騙して AnyDesk をダウンロードさせ、リモートアクセスとさらなるマルウェアの展開を促します。

DarkGateマルウェア攻撃を検出する

2024年初夏に、 vishing技術 がサイバー攻撃で使用され、リモートユーティリティを含む攻撃用ツールの配布が続きました。12月には、攻撃者が再びDarkGateマルウェア感染を狙ったvishingによるなりすましを利用しました。SOC Primeプラットフォームは、集団サイバー防御のための最先端技術とソリューションを備え、規模や洗練さに関係なくサイバー脅威を拡大します。

押す 検出の探求 して、DarkGateマルウェア検出のためのSigmaルールの完全なコレクションを掘り下げます。行動可能なCTI、MITRE ATT&CKアライメント、および30以上のセキュリティ分析プラットフォームに適合するクエリ言語形式への検出コードの自動化能力を得ることができます。

検出の探求

DarkGateマルウェア解析：Vishing攻撃

トレンドマイクロの研究者 は、Microsoft Teamsの通話を介してvishingを利用し、ユーザーのクライアントになりすまし、ターゲットシステムへのリモートアクセスを得たサイバーセキュリティ事故を調査しました。攻撃者はまた、被害者を騙してAnyDeskリモートデスクトップソフトウェアをダウンロードさせ、それを利用してDarkGateマルウェアを展開しました。AutoItスクリプトを介して配信されたDarkGateは、システムのリモート制御を取得し、攻撃的なコマンドを実行し、システムデータを収集し、C2サーバーに接続しました。

攻撃の初期段階で、ハッカーはソーシャルエンジニアリングを利用してシステムアクセスを得ました。被害者は最初に数千のメールを受け取り、その後偽の外部サプライヤーからのMicrosoft Teamsの通話を受けました。攻撃者はターゲットユーザーを騙してMicrosoft Remote Supportアプリをインストールさせるのには失敗しましたが、ブラウザを介してAnyDeskをダウンロードさせ、資格情報を入力するように指示することには成功しました。

AnyDeskのインストール後、攻撃者は侵害されたシステム内で昇格された権限で操作が可能となり Trojan.AutoIt.DARKGATE.Dペイロードを含むいくつかの疑わしいファイルを投入しました。暗号化されたAutoItペイロードスクリプト.a3xは、メモリ内でシェルコードとして自身を復号し、MicrosoftEdgeUpdateCore.exeのような正当なプロセスに自身を注入しました。このプロセスは、DarkGate A3xスクリプトをロードして実行するためのプロキシとして機能し、攻撃の次の段階のために追加の悪意あるサンプルをロードしました。

敵対者はまた、被害者のマシンに隠されたファイルとレジストリエントリを作成して持続性を確立し、検出を回避しました。彼らはまた、レーダーの下に留まるためにDLLサイドローディングを使用しました。攻撃的な努力にもかかわらず、攻撃は敵対者が目的を達成する前に終了し、データ流出の証拠はありませんでした。

推奨されるDarkGateマルウェア緩和策として、チームはサードパーティの技術サポートプロバイダーを慎重に審査し、システムへのリモートアクセスを許可する前にベンダーの関連を確認することを奨励されます。リモートアクセスツールのセキュリティと評判を評価するためのクラウド審査プロセスを確立し、承認されたツールをホワイトリストに追加して疑わしいものをブロックし、追加のセキュリティ保護層としてMFAを実装します。

多段階のDarkGateマルウェア攻撃の流れは、強力なセキュリティ対策と社会工学攻撃に対するサイバー警戒の重要性を浮き彫りにしています。vishingや他の敵対技術を利用した悪質なキャンペーンの頻度と多様性の増加に対処するため、企業はSOC Primeの 完全な製品スイート に依存することができます。AI駆動型検出エンジニアリング、自動化された脅威ハンティング、および高度な脅威検出を行いながら、最高水準のサイバー防御を確保します。