検出コンテンツ: Kpot 情報スティーラーキャンペーン

COVID-19は、サイバー犯罪者がフィッシングやマルスパムキャンペーンで悪用する最も人気のあるトピックです。最近、攻撃者はユーザーに悪意のある添付ファイルを開かせる新しい効果的な方法を見つけました。IBM X-Forceの研究者が米国労働省からのメッセージを偽装したメールを使用する悪意のあるキャンペーンを発見しました。対戦相手は、従業員に医療休暇の利益を与える権利を与える家族および医療休暇法のテーマを悪用して、ユーザーにシステムにマルウェアをインストールさせました。4月の終わりには、サイバー犯罪者が悪名高い トリックボットマルウェア をこのキャンペーンを通じて広めました。これは彼らにとって非常に成功したため、他のグループが成功を繰り返すことを決心し、 似たようなメール を使用してKpot情報スティーラーを配布し始めました。

Kpot情報スティーラーは、 攻撃で使用されている 2年以上のコモディティマルウェアファミリーです。このマルウェアは、管理パネルに公開されている文字列からその名前が付きました。ウェブブラウザ、インスタントメッセンジャー、メール、VPN、RDP、FTP、暗号通貨、およびゲームソフトウェアからアカウント情報やその他の機密データを抽出できます。 

オスマン・デミルによる独占ルールは、KpotマルウェアのインストールとそのC&Cサーバーとの通信を検出します： https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

このルールは以下のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

タクティクス: 初期アクセス

テクニック: スピアフィッシング添付ファイル (T1193)

この脅威を検出するための他のルール：

KPOTの振る舞い (Sysmon検出) アリエル・ミラウェルによって – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Powershellダウンローダー (KPOTマルウェア) エミル・エルドアンによって – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

TDMでオスマン・デミルによるすべてのルールを見るには、フィルターズパネルで著者を指定するか、検索用にLucene検索クエリオプションを使用してください。 

https://tdm.socprime.com/?authors[]=Osman+Demir