正規のWindowsデバッガーツールを偽装してレーダーから逃れるPlugXトロイの木馬を検出する

古い犬、新しいトリック！セキュリティ研究者が明らかにしました PlugX リモートアクセス型トロイの木馬 (RAT) が、x65dbg と呼ばれる人気のオープンソースの Windows デバッガツールになりすまし。DLL サイドローディングを利用したこの偽装トリックにより、悪意ある RAT はセキュリティ制御を潜り抜け、ターゲットのインスタンスに完全にアクセスすることができます。 

PlugX リモートアクセス型トロイの木馬の検出

PlugX トロイの木馬は、10年以上にわたりサイバー攻撃で積極的に利用され、主に中国のハッカーズコレクティブの間で人気があります。サイバー脅威の分野に再び現れ、正当なアプリの偽装によって検出を回避しようとする新たなバリアントが警告されています。SOC Prime の Detection as Code Platform は、セキュリティチームが新旧の攻撃を積極的に検出できるようにします。PlugX トロイの木馬の感染をタイムリーに特定するため、SOC Prime プラットフォームは最近新しい Sigma ルールをリリースしました。それはわれわれの優秀なThreat Bounty開発者の エムレ・アイ:

推奨されるコマンドの検出による PlugX トロイの木馬活動の可能性 (via process_creation)

この Sigma ルールは、一般的な侵入方法として知られる rundll32で行われるPlugX トロイの木馬活動を検出します。検出は20以上のSIEM、EDR、XDRプラットフォームで適用可能で、 MITRE ATT&CK フレームワーク v12 の System Binary Proxy Execution (T1218)を主な手法とする Defense Evasion 戦術に対応しています。

集団的インテリジェンスに貢献しようとする脅威ハンターと検出エンジニアは、 Threat Bounty Program 開発者として参加を歓迎します。ピアドリブンのサイバー防御コミュニティと検出コンテンツを作成・共有することにより、セキュリティ愛好者はSigmaとMITRE ATT&CKのスキルを磨き、CVをコード化し、Detection Engineeringで自己進化しつつ、貢献に対して経済的な利益を得ることができます。 

「 検出を探す 」ボタンをクリックすることで、PlugX マルウェア検出の Sigma ルールのリストの全体に即座にアクセスし、現在のサイバー攻撃や悪名高いトロイのサンプルを利用した過去の悪質なキャンペーンを関連付けながら探索できます。すべての Sigma ルールは関連するサイバー脅威インテリジェンスで強化され、調査の効率化と攻撃および対抗勢力の行動パターンの包括的なコンテキストを提供します。 

検出を探す

最近の PlugX トロイの木馬キャンペーンの分析

PlugX (別名 Korplug, Hodur, RedDelta) は 2008 年頃に悪意のプラットフォームに登場し、ターゲットとするシステムを完全に制御するためのバックドアとして悪用されていました。もともとは中国政府が支援するAPTグループによって専ら使用されていましたが、後に世界中の複数のアクターが PlugX RAT を悪意のある操作に採用しました。 

最近の攻撃において、ハッカーは Windows デバッギングツールの32ビット版である x64dbg.exe.  を偽装し、信頼された正当なアプリをハイジャック後にペイロードをドロップする手法としてDLLサイドローディングを利用しました。x64dbg デバッガは、 x32bridge.dll を持たされ、 x32bridge.dat.

として PlugX をロードします。 最初に確認されたハイジャックされた x64dbgのバージョンは 2023年1月に Unit 42の専門家によって公表されました。新しい PlugX バージョンの調査時には、リムーバブルUSBドライブを利用してターゲットネットワーク内の他のWindowsマシンに感染させていました。ここでの永続性は、Windows レジストリの修正と、マシン再起動に関わらず継続的に動作を続けるためのスケジュールタスクの作成によって達成されます。さらに トレンドマイクロによる 分析 では、 を使用してUDPシェルクライアントとともにバックドアをドロップしてシステム情報を収集する手法が観察されました。 

現代のセキュリティ脅威には万能薬はありません。ハッキング技術が進化を続ける中、サイバー防御者は脅威が継続的な操作、データの窃盗、ペイロード注入をする前に、信頼できるソリューションを利用して脅威を適時に特定する必要があります。 https://socprime.com/ を利用してサイバー攻撃者を上回り、速さを追求し、常に10,000以上のSigmaルールを手元に持ちましょう。