検出コンテンツ: 偽PDFを通じてドロップされたFormbook (Sysmonの動作)

Covid19の発生により、サイバーセキュリティの盲点がいくつか明らかになりました。私たちは、Weekly Talks、ウェビナー、関連コンテンツのダイジェストで最新のトレンドをお届けするよう努めています。しかし、情報の洪水の中で人間の好奇心が弱点になり得ます。2016年から知られるインフォスティーラーのFormBookが、Covid19関連情報を含むPDFファイルを配信するメールキャンペーンを通じて活発に配布されています。FormBookのデータスティーラーは、本格的なバンキングマルウェアのいくつかの機能を欠いていますが、それでもスクリーンショットを撮ったり、クリップボードを監視したり、メールクライアントやブラウザからパスワードを取得したり、被害者のネットワーク要求を明確に把握したりすることができます。Command and Controlサーバーから命令を受け取ることで、FormBookは被害者のマシンをコントロールし、ShellExecuteを通じてコマンドを実行したり、ブラウザ履歴を消去したり、マシンを再起動したり、ホストシステムからボットを遠隔操作したりすることが可能です。

最近のキャンペーンでは、メールがブラウザを通じて最も頻繁に表示されることを利用して、Covid19の発生に関する最新情報を含んでいるように偽装し、実際にはGuLoaderを配信し、さらにFormBookトロイの木馬をインストールします。

偽のPDFを介してドロップされるFormBook（Sysmonの挙動）ルールは Lee Archinal、のアクティブな参加者です Threat Bounty DeveloperプログラムはFormBookの活動を特定するのに役立ちます： https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

ルールは次のプラットフォームの翻訳を持っています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

タクティクス： 実行, 防衛回避

技術：コマンドラインインターフェース (T1059), ホスト上のインジケーターの除去 (T1070), レジストリの変更 (T1112)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または Threat Bounty Programに参加 して、自分のコンテンツを作成し、TDMコミュニティと共有しましょう。