METAインフォメーションスティーラーを検出する

[post-views]
4月 11, 2022 · 6 分で読めます
METAインフォメーションスティーラーを検出する

新しい 情報窃盗 マルウェアが Mars Stealer やBlackGuardの足跡を追う。このマルウェアは、月額125ドルまたは生涯サブスクリプションで1,000ドルで提供されています。 ダークネット市場では、META Stealerは RedLine Stealerのアップグレードとして宣伝されています。このマルウェアは2020年に初めて公開されました。

META情報窃盗の検出

META Stealer攻撃から企業のインフラを保護するために、ベテランのThreat Bounty開発者 Kaan Yeniyolが開発したSigmaルールをダウンロードできます。

疑わしいMetaStealerマルウェア(2022年4月)レジストリキーの検出による持続性(registry_event経由)。

この検出には、以下のSIEM、EDR、XDRプラットフォームの翻訳があります:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、Carbon Black、ArcSight、QRadar、Devo、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Open Distro、およびSecuronix。

このルールは、Defense Evasion戦術でレジストリの変更を主な技術(T1112)として扱う最新のMITRE ATT&CK®フレームワークv.10に準拠しています。

SOC Primeは、ウクライナに対する軍事侵略に伴う ロシアが支援するサイバー攻撃 に対抗するためにセキュリティ専門家が団結することを訴えています。SOC PrimeのQuick Huntモジュールは、#stopwar、#stoprussian、#stoprussianagressionというタグを付けたロシア侵略関連の脅威ハンティングコンテンツの豊富なコレクションを効率的にウェブ検索できる機能を提供します。これらの脅威の検索用の専用の脅威ハンティングクエリは、以下のリンクから無料で入手できます:

ロシア発の脅威を検出するためのハンティングコンテンツの完全なコレクション

業界リーダーとつながり、自分自身のコンテンツを開発することに興味がありますか?SOC Primeのクラウドソーシングイニシアチブに参加し、グローバルなサイバーセキュリティコミュニティと協力し、SigmaやYARAルールを共有しながら、協働的なサイバー防御を構築しましょう。

検出を表示 脅威バウンティに参加

META情報窃盗解析

新しい情報窃盗型のマルウェアの系統が、セキュリティ研究者でありISCハンドラーの Brad Duncan によって4月初めに文書化されました。META Stealerは勢いを増し、ユーザーの機密情報を狙うハッカーの間で人気を博しています。Duncanの徹底的な研究によると、敵はMETA情報窃盗を展開して、Firefox、Chrome、Edgeなどのウェブブラウザに保存された感染システムのパスワードを手に入れたり、仮想通貨ウォレットを解読したりします。攻撃の最初の段階は、マクロが埋め込まれたExcelスプレッドシートをフィッシングメールを通じて配布することで特徴付けられます。被害者に感染したメールに添付されたファイルを開かせるために、詐欺的な資金振替に基づいて誘惑を仕掛けています。必要な手順がすべて実行されると、背景でVBSマクロが有効になり続けます。その後、DLLや実行ファイルなどの悪意のあるペイロードが、さまざまな信頼できるドメインからダウンロードされます。

システムが再起動した後でも、EXEファイルは193.106.191[.]162のコマンドアンドコントロールサーバーと通信します。このプロセスはマルウェアの持続性を示しており、感染したマシンで感染プロセスが再開されます。

セキュリティ専門家は、META情報窃盗がWindows Defenderを変更して.exeファイルをスキャンから除外し、検出を回避するという事実を考慮すべきです。巧妙なマルウェアに立ち向かうために、 SOC PrimeのDetection as Codeプラットフォームと協力しましょう。このプラットフォームは、グローバルなサイバーセキュリティの専門知識によって強化された脅威検出能力の迅速かつ効率的な向上を可能にします。自分自身の検出コンテンツを作成し、協力的なサイバー防御を推進する方法を探している方は、 SOC Primeのクラウドソーシングイニシアチブ に参加し、自分のSigmaやYARAルールをコミュニティと共有してより安全なサイバースペースに貢献し、コンテンツに対するリカーリング報酬を受け取りましょう!

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース