TA413による経済スパイ活動キャンペーン

COVID19 に関連するルアーの使用は、金銭的動機を持つグループと国家支援のサイバースパイ部隊の両方の間で既に一般的な慣行と見なされています。リサーチャーは先週、新しいツールを配信するために COVID19 テーマのフィッシングメールを 6 ヶ月間使用している別のグループについての報告を発表しました。はい、私たちは TA413 として知られる中国の APT グループについて話しています。このグループは、非営利政策研究機関、欧州の外交および立法機関、経済問題を扱う国際組織を対象とした経済スパイ活動に特化しています。

対戦相手は Sepulcher と呼ばれるカスタムマルウェアを使用しており、これを使用している唯一の脅威アクターですが、中国のグループ間で広く行われているため ツールを共有する、報告の 公開後、このマルウェアは他の APT グループの武器庫にも登場する可能性があります。Sepulcher はリモートアクセス型トロイの木馬であり、偵察活動を行うことができます：ドライブに関する情報の取得、ファイル情報、ディレクトリ統計、ディレクトリパス、ディレクトリの内容、実行中のプロセスやサービスに関する情報。さらに、ディレクトリやファイルを作成、削除し、シェルを起動してコマンドを実行し、プロセスを終了することなどが可能です。

Osman Demir によってリリースされた脅威ハンティングルールが TA413 の悪意のある活動と、グループがサイバースパイ活動で使用している Sepulcher マルウェアを検出します： detects TA413 malicious activities and Sepulcher malware used by the group in cyber espionage campaigns:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

このルールには以下のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 初期アクセス、持続性、特権昇格

技術: New Service (Е1050), Spearphishing Attachment (T1193)

SOC Prime TDM を試してみる準備はできましたか？ 無料でサインアップ。または 脅威バウンティプログラムに参加して 自身のコンテンツを作成し、TDM コミュニティと共有しましょう。