DarkGateマルウェア検出：攻撃者がMicrosoft Excelファイルを利用して有害なソフトウェアパッケージを拡散

防御者たちは、Microsoft Excelファイルを利用して公にアクセス可能なSMBファイル共有から悪意のあるサンプルを拡散するDarkGateマルウェアキャンペーンを観察しています。DarkGateは、悪名高い QakBot の解体後に残されたギャップを埋める可能性のある非常に適応性の高い悪意のある亜種を表しています。

DarkGateマルウェアを検出する

2024年、サイバー攻撃は世界的に急増し、組織は第1四半期に平均して 1,308件の攻撃を毎週経験しました。これは、2023年第4四半期から28%の増加であり、前年同期間と比較して5%の増加を示しています。攻撃面が拡大し続け、感染方法の洗練度が増す中、潜在的な侵入を積極的に検出することは容易ではなくなっています。

流行の脅威を把握し、攻撃を開発の初期段階で検出するために、セキュリティ専門家は SOC Primeの完全な製品スイート に依存することができます。これにより、AIを用いた検出工学、自動脅威ハンティング、検出スタックの検証が可能です。

以下の 検出を探る ボタンを押して、DarkGateマルウェアの検出を目的としたキュレーションされた検出スタックにアクセスしてください。すべてのルールは30以上のSIEM、EDR、データレイク技術と互換性があり、 MITRE ATT&CK®フレームワークに対応しています。さらに、検出は、CTI参照、攻撃タイムライン、トリアージ推奨事項などの包括的なメタデータで強化され、脅威調査をスムーズにするための他の関連詳細が含まれています。

検出を探る

DarkGateマルウェア分析

DarkGateは2018年にサイバー脅威の舞台に登場したマルウェアファミリーです。当初、このマルウェアは高度なC2インフラストラクチャを用いて動作し、さらに発展してマルウェア・アズ・ア・サービス（MaaS）提供に進化しました。

DarkGateは2021年まで低姿勢を保っていました。 Palo Alto Networks Unit 42の研究者 は、2023年初秋にDarkGateの活動が著しく増加したことを観察しました。多国籍政府による妨害と QakBot インフラストラクチャの撤去の直後に、DarkGateのキャンペーンはAutoItからAutoHotkeyスクリプトにシフトしてマルウェアを拡散しました。2024年の初頭には、さらに洗練された能力を持つ第6の主要バージョンを立ち上げました。

2023年8月以来、防御者たちはさまざまな方法でDarkGateマルウェアを配布する一連の悪意あるキャンペーンを観察しています。これには、Teamsリンクを経由して被害者を欺いてDarkGateインストーラをダウンロードさせる、武器化されたメールやPDF添付ファイルにリンクした有害なZIPアーカイブの利用、DLLサイドローディング、HTMLファイルの悪用、悪意のある広告を利用したマルウェア拡散が含まれます。

2024年春、Unit 42チームは、 新しい攻撃的キャンペーン を観察しました。これはMicrosoft Excelを武器化し、オープンなSambaファイル共有を持つサーバーを利用してDarkGateマルウェアを拡散するためのファイルをホスティングしました。当初米国をターゲットにしたこのキャンペーンは、徐々にヨーロッパやアジアの一部にも拡大しました。感染チェーンは、Excelファイル内のOpenボタンにハイパーリンクされたオブジェクトをクリックすることから始まり、アーカイブ内のURLからコンテンツを取得して実行します。このURLは、公開アクセス可能なSamba/SMBシェアにホスティングされたVBSファイルに導きます。攻撃が進行するにつれ、攻撃者は武器化されたSambaシェアからJSファイルも配布し始めました。

特に、感染フロー全体で使用されるPowerShellスクリプトは、検出回避技術を試みて、攻撃者がレーダーに映らないようにします。DarkGateマルウェアはまた、CPUデータをチェックし、ターゲットシステム上の他のマルウェア対策プログラムをスキャンします。検出メカニズムを妨害し、マルウェア対策ソフトウェアを無効にする能力を持っています。DarkGateがその能力を進化させる中、最新のアップデートでは、Windows DefenderやSentinelOneのようなマルウェア対策ソフトウェアを回避するための新しいチェックセットが追加されています。

DarkGateの多様な攻撃ベクトルおよび包括的なMaaSへの進化、その攻撃ツールキットの継続的な進化、そして最新のセキュリティプロトコルを回避するための努力の高まりは、感染を未然に防ぐための積極的な防衛を強化する必要性を強調しています。 SOC Primeのプラットフォームに依存して、 世界的な脅威インテリジェンス、クラウドソーシング、ゼロトラスト、AIに基づく集合サイバー防御により、侵入をタイムリーに特定し、サイバー攻撃を最も初期の段階で未然に防ぎます。