検出コンテンツ：医療供給業者におけるCOVID-19関連の攻撃

Osman Demirによる新しいSigmaルールは、医療供給業者を標的としたCOVID-19関連のフィッシング攻撃を検出するのに役立ちます。 https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

このキャンペーンは先週末に知られるようになり、研究者たちはCOVID-19パンデミックを悪用する419詐欺師と関連していると考えています ビジネスメール詐欺攻撃。敵対者は、COVID-19パンデミックに対応するために必要なさまざまな材料について問い合わせる悪意のあるMS Wordドキュメントを含む、非常に狙いを定めたフィッシングメールを送信します。ドキュメントは、Agent Teslaインフォスティーラーを配信するためにCVE-2017-11882の古いがまだ効果的な脆弱性を悪用します。AgentTeslaはモジュラー型の.Netベースのマルウェアで、さまざまなアプリケーションや WiFiの認証情報からデータを盗む、商業用マルウェアのBEC詐欺師の好むツールの1つです。 

Osman Demirは2019年11月下旬に最初のコンテンツを公開し、現在では100以上の公開されたルールを持ち、Wanted Listリクエストに応えるコンテンツも含まれています。Osman Demirとのインタビュー： https://socprime.com/blog/interview-with-developer-osman-demir/

脅威検出は以下のプラットフォームでサポートされています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、RSA NetWitness

EDR：Carbon Black、Elastic Endpoint

MITRE ATT&CK：

戦術：初期アクセス

技法：スピアフィッシング添付ファイル（T1193）

このキャンペーンに関連するその他のルール：

AgentTesla RAT検出 Emir Erdoganによるルール – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

AgentTeslaによるPowershell難読化 Emir Erdoganによるルール – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Agent Teslaの動作（SysmonとPowershell検出） Ariel Millahuelによる – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

WiFiパスワードの盗難（アップグレードされたAgent Teslaを使用） Osman Demirによる – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

CVE-2017-11882の悪用 Florian Rothによる – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

CVE-2017-11882の悪用（APT27攻撃の可能性） Emir Erdoganによる – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/