マーズスティーラー暗号通貨採掘マルウェアを検出する

2022年3月30日、ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、 警告 を発しました。「Mars Stealer」というマルウェアがウクライナの個人および組織を対象に大量に拡散しているということです。CERT-UAの研究によれば、Mars Stealer攻撃の背後にいる敵対者は、ハッキンググループとして追跡されている UAC-0041 に関連付けられており、AgentTeslaと XLoader).

と関係があります。Mars Stealerは、データ窃取への比較的アクセスしやすいエントリーポイントとして、最近ではカナダ、インドネシア、ブラジル、ヨーロッパ、アメリカの個人および企業を対象に世界中で多用されています。研究者によると、Google広告の悪用とフィッシングメールがこのインフォスティーラーを配布する最も広く使用されている2つのアプローチとされています。

Mars Stealer の分析

Mars Stealerは、C/ASMベースのインフォスティーラーで、ハッキングフォーラムで生涯購読で $160という比較的低価格で購入可能なマルウェアです。このマルウェアは、 Oski Stealerをベースに作成され、2019年に初登場しました。Mars Stealerやその2019年の悪意のある前身と同様に、様々な配信方法があります。Mars Stealerのようなマルウェアは、マルスパムキャンペーンやソーシャルエンジニアリング詐欺を通じて、圧縮実行ファイル、ダウンロードリンク、またはフィッシングメールの添付文書として最も一般的に配布されます。インフォスティーラーを広めるもう一つの頻繁な手法は、偽のウェブサイトを作成し、ユーザーを誘導し、その結果デバイスの情報収集、ブラウザや認証データやファイルの窃取、暗号通貨ウォレットプラグイン、複数要素認証プログラムの窃取、敵対者に実行ファイルのダウンロードと実行、さらには不正なスクリーンショット撮影を可能にすることです。

As CERT-UAが報告したように、Mars Stealerはスパムメールキャンペーンを通じて配布されました。被害者は、もし開封すれば感染を広げる悪意のある実行ファイルがあるアーカイブを含むなりすましメールを受け取りました。

Mars Stealerマルウェアのサイバー攻撃を検出するSigma行動ベースの内容

セキュリティ実務者は、SOC Primeプラットフォームで利用可能な選別されたSigmaベースの検出ルールを使用して、組織インフラ内でのMars Stealerマルウェア株の可能性を検出できます。

Mars Stealerマルウェアの検出コンテンツ

留意点として、その検出コンテンツはSOC PrimeのDetection as Codeプラットフォームの登録ユーザーのみがアクセス可能です。

MITRE ATT＆CK® コンテキスト

利便性のために、Mars Stealerに関連する悪意のある活動を検出するための専用のSigmaベースのコンテンツは、MITRE ATT＆CK フレームワークの対応する戦術と技術を網羅した最新バージョンにマッピングされています：