Lokibotは広範囲にわたる機密データを収集するように設計されたトロイの木馬型マルウェアです。2015年に最初に発見され、その後も攻撃者が地下フォーラムで購入できるためサイバー犯罪者の間で非常に人気があります。数年前、「ティンカー」は独自にトロイの木馬にC&Cインフラストラクチャのアドレスを追加する方法を学び、「クラック版」を販売し始め、これによりこの情報スティーラーを使用した攻撃が急増しました。一方で、海賊版では持続性を維持できませんが、Lokibotは保存された認証情報を数分で盗むことができ、そのような攻撃を特定するのは困難です。
Lokibotは スパムメール および悪意のあるウェブサイトを通じて配布されます。 このトロイの木馬の主な機能は機密データを記録することです:保存されたログイン/パスワードを収集し、ユーザーの活動を継続的に追跡して、その記録された情報をすぐさま敵によって制御されるリモートサーバーに保存します。このトロイの木馬はBEC攻撃中に頻繁に使用されます。成功した感染後はほぼ即座に詐欺師に必要なすべての情報を提供するためです。 Lee Archinalの独自のルールは、最近発見されたLokibotのサンプルに基づいた分析から成り立っており、タイムリーに妥協したシステムを検出するのに役立ちます: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1
また、この脅威を検出するために利用可能な他のルールも確認することをお勧めします。 Threat Detection Marketplace.
このルールには以下のプラットフォーム向けの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: Command and Control, Defense Evasion
技術: Commonly Used Port (T1043), File Deletion (T1107)
