検出コンテンツ: APT38 マルウェア

最近、私たちは発表したルールで発見した1つを 最新のツール として、ラザルスやHidden Cobraとしても知られる悪名高いAPT38グループに属しています。そして、この洗練されたサイバー犯罪グループを発見するためのコンテンツを公開し続ける時が来ました。本日の記事では、SOC Prime Threat Bounty Programの最初の参加者の一人である、 リー・アーチナルに基づく最新の検出コンテンツのリンクを提供します。リーは、APT38による最近の攻撃で使用される Bitsran and Bistromath マルウェアを検出する2つのルールを公開しました。

Bistromathはフル機能のRATで、標準的なシステム管理、制御、偵察のためにインプラントを使用します。初期感染は悪意のある実行可能ファイルを通じて行われます。ネットワーク通信はXORで暗号化されます。発見されたBistromathのサンプルは、特定のデバイス、レジストリエントリ、プロセス、ファイルの存在を確認し、一般的なサンドボックスでの解析を回避しようとします。このマルウェアは、ファイルとプロセスの操作、データの流出、CMDシェルの使用、スパイ活動、キーロギング、ブラウザのハイジャックなどに対応できます。

BitsranはHermes 2.1ランサムウェアのラディカルエディションのドロッパーおよび拡散コンポーネントです。それは、被害者のネットワーク上で悪意のあるペイロードを実行および拡散するように設計されています。実行時に、マルウェアは自分自身のコピーをTEMPの場所に配置します。その後、マルウェアはすべてのプロセスを列挙し、特定のアンチウイルスプロセスを探し、コマンドラインツールtaskkillを使用してこれらを終了させようとします。この後、Bitsranは最終的なペイロードを抽出して実行します。この追加ペイロードが実行される間、最初のマルウェアはネットワーク上の他のデバイスに自分自身をコピーしようとします。2つのユーザーアカウントがマルウェアにハードコードされ、WindowsデバイスのC$ SMB共有に接続するために使用されます。

APT38 Bistromath マルウェア (Sysmon 振る舞い) リー・アーチナルによる: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

APT38 Bitsran マルウェア (Sysmon 振る舞い) リー・アーチナルによる: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

ルールは次のプラットフォーム向けに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 実行, 永続性, 特権の昇格

技術: レジストリの実行キー / スタートアップフォルダ (T1060), スケジュールタスク (T1053)