NetWireは、2012年からサイバー犯罪者によって使用されているNetWiredRCマルウェアファミリーの一部である、公開されているリモートアクセス型トロイの木馬です。主な機能は資格情報の窃取とキーロギングに焦点を当てていますが、リモートコントロール機能も備えています。攻撃者はしばしば、マルスパムやフィッシングメールを介してNetWireを配布します。
最近のキャンペーンでは、サイバー犯罪者がドイツのユーザーを標的とし、フィッシングメールをドイツの宅配便や小包郵便、速達サービスDHLに偽装しました。攻撃者は、MS Excelのドキュメントを悪意のある添付ファイルとして使用しました。これはPastebinから2つのファイルをダウンロードするPowerShellコマンドを起動し、それらに対して文字の置換を行ってDLLファイルをデコードし、難読化されたNetWire RATをダウンロードした後、デコードされたDLLを使用してトロイの木馬を正当なプロセスに注入します。
Osman Demirによる新しい脅威ハンティングルールは、悪意のあるファイルをダウンロードするPowerShellコマンドと正当なWindowsファイルへのプロセス注入を明らかにします。
paste.eeとMS Excel経由のNetwire RAT – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1
このルールには以下のプラットフォーム向けの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 指揮統制
技術: リモートアクセスツール (T1219)
コミュニティルールも確認できます WScript経由のNetwire RAT検出: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/
