検出コンテンツ：Netwire RATのハンティング

NetWireは、2012年からサイバー犯罪者によって使用されているNetWiredRCマルウェアファミリーの一部である、公開されているリモートアクセス型トロイの木馬です。主な機能は資格情報の窃取とキーロギングに焦点を当てていますが、リモートコントロール機能も備えています。攻撃者はしばしば、マルスパムやフィッシングメールを介してNetWireを配布します。 

最近のキャンペーンでは、サイバー犯罪者がドイツのユーザーを標的とし、フィッシングメールをドイツの宅配便や小包郵便、速達サービスDHLに偽装しました。攻撃者は、MS Excelのドキュメントを悪意のある添付ファイルとして使用しました。これはPastebinから2つのファイルをダウンロードするPowerShellコマンドを起動し、それらに対して文字の置換を行ってDLLファイルをデコードし、難読化されたNetWire RATをダウンロードした後、デコードされたDLLを使用してトロイの木馬を正当なプロセスに注入します。 

Osman Demirによる新しい脅威ハンティングルールは、悪意のあるファイルをダウンロードするPowerShellコマンドと正当なWindowsファイルへのプロセス注入を明らかにします。

paste.eeとMS Excel経由のNetwire RAT – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

このルールには以下のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 指揮統制

技術: リモートアクセスツール (T1219)

コミュニティルールも確認できます WScript経由のNetwire RAT検出: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/