今日の投稿では、LokiBot インフォスティーラーが被害者の Windows OS にバックドアを提供し、詐欺師が機密データを盗み、さまざまなペイロードを仕込むことさえ可能にすることについて、読者に思い出してもらいたいと思います。LokiBot インフォスティーラーは、信頼された送信者を装い、受信者にすぐに開くよう誘導する添付ドキュメントを含むマルスパムキャンペーンを通じて被害者に届きます。LokiBot は世界中のフィッシングキャンペーンで配布されており、パンデミックの間により強力になりました。最近のキャンペーンでは、WHO の商標を用いて合法的な送信者に似せた更新情報を述べたメールが観察されました。
LokiBot が被害者のマシンに正常に配信されると、ブラウザに保存されたパスワード、メールパスワード、FTP 資格情報を含むできるだけ多くの機密情報を収穫して送信し始めます。
LokiBot Detector (Windows10) (Sysmon Behavior) Sigma ルールは Lee Archinal によって作成 され、インフォスティーラーの存在を検出するのに役立ちます。
https://tdm.socprime.com/tdm/info/R26MTl0rrjvg/uwDm3HMBSh4W_EKGmAKw/?p=1
このルールは、以下のプラットフォームに翻訳されています。
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
戦術: 実行, 防御回避, 永続性, 特権昇格
技術: Rundll32 (T1085), スケジュールされたタスク (T1053)
Covid19 関連のマルウェア活動と SOC Prime の推奨についてさらに読む こちら.
SOC Prime TDM を試してみますか? 無料でサインアップ.
Or Threat Bounty Program に参加 して、独自コンテンツを作成し、TDM コミュニティと共有して、収益を得ましょう!
