検出コンテンツ：Arkei Stealer

Arkei Stealerは情報スティーラーマルウェアの一種で、その機能はAzorultマルウェアに似ています: センシティブな情報、資格情報、暗号通貨ウォレットのプライベートキーを盗みます。このマルウェアは地下フォーラムで販売されており、「正規版」とクラック版の両方を誰でも入手および使用できるため、攻撃の帰属を困難にしています。 

この情報スティーラーを使用した最も目立ったサイバー攻撃は、Syscoin暗号通貨の開発者の一人のGitHubアカウントのハッキングと、2018年に公式プロジェクトリポジトリの侵害と見なされます。攻撃者はGitHubに公開されている公式のWindowsクライアントを内蔵のArkei Stealerを含む悪意のあるバージョンに置き換えましたが、数日間気づかれませんでした。2019年には、このマルウェアはボットネットを使用して積極的に広まり、最近ではSpamhaus Botnetが情報スティーラーの最新バージョンの配布を続けていると報告されました。

新しいサンプルは定期的に出現し、最近発見されたマルウェアに基づいて、Threat Bounty Programへの参加者 Lee Archinal は、Windowsシステム上での脅威の存在を明らかにするための検出コンテンツを開発しました。 https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

ルールは以下のプラットフォームに対応した翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行, 資格情報アクセス, 調査

技術: コマンドラインインターフェイス (T1059), 資格情報ダンピング (T1003), レジストリクエリ (T1012)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または Threat Bounty Programに参加して、 あなた自身のコンテンツを作成し、TDMコミュニティと共有しましょう。