検出コンテンツ: Himera Loader

[post-views]
6月 04, 2020 · 3 分で読めます
検出コンテンツ: Himera Loader

今日の記事は、Himeraローダーマルウェアに関するもので、敵対者が先月からCOVID-19に関連したフィッシングキャンペーンで使用しています。サイバー犯罪者は、進行中のCOVID-19パンデミックに関連した家族・医療休暇法の要求を誘因として引き続き悪用しています。このテーマは既にTrickbotやKpotインフォスティーラーの配布に効果を発揮しているためです。 

最近のキャンペーンでは、メールが2つの普遍的なサイバー犯罪ツールで武装されています:HimeraとAbsent-Loaderです。今週、オスマン・デミルはこれらのキャンペーンに関連したHimeraローダーサンプルを検出するためのコミュニティ脅威ハンティングルールを公開しました: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

このキャンペーンでは、敵対者は悪意あるドキュメントにマクロやエクスプロイトを一切利用せず、代わりに埋め込みオブジェクトとして全ての実行可能ファイルを含んでいます。Himeraローダーは、次段階のマルウェアコードを被害者のマシンにロードすることを専門としています。それは、一部のクラシックな解析回避トリックをWindows APIを使って実行し、研究者に主なペイロードを解明させないようにし、キャンペーンをより長く秘密に保ちます。

このルールは次のプラットフォーム向けに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行

技術: ユーザー実行 (T1204)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。