検出コンテンツ：Phorpiexトロイの木馬

私たちのある 脅威ハンティングコンテンツ ブログ投稿では、すでにルールを観察して Avaddonランサムウェアを検出することを示しました。6月上旬に最初に発見された新しいRansomware-as-a-Serviceのバリアントです。Avaddonランサムウェアの最も活発な配布元の1つはPhorpiexボットネットであり、今年初めの損失から回復したばかりです。感染システムは1時間に数万通のメールを送信でき、2019年末にはこのようなシステムの数は50万台近くになっていました。

Phorpiexボットネット、別名Trikは10年以上にわたって活動しており、ここ数年でボットネットは2回にわたり長期間『運用停止』となりました。前回の冬には、誰かがボットネットのバックエンドインフラを乗っ取り、一部の感染ホストからスパムボットマルウェアをアンインストールし、ウイルス対策ソフトをインストールし、システムを更新するように被害者に伝えるポップアップウィンドウを表示しました。それにもかかわらず、サイバー犯罪者は再びその効率を復元し、Avaddonランサムウェアを拡散する大量スパムキャンペーンを開始しました。過去には、このボットネットはしばしばセクストーションキャンペーン、GandCrabランサムウェアやPushdoトロイの木馬を配信し、感染ホストで暗号通貨をマイニングするためにその力を使用してきました（いくつかの大量メールの波は1キャンペーンで2700万通のメールに達しました）。新しい脅威ハンティングSigmaルールが Osman Demir によって提出され、最近発見されたPhorpiexボットネットサンプルのインストールをセキュリティソリューションで明らかにすることができます： https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

このルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 初期アクセス

技術: スピアフィッシング添付ファイル (T1193)

SOC Prime TDMを試してみませんか？ 無料でサインアップ。または 脅威報奨金プログラムに参加する ことで、自分のコンテンツを作成し、TDMコミュニティと共有できます。