ファイルレスマルウェア検出：AveMariaRAT / BitRAT / PandoraHVNC攻撃

サイバー犯罪者は、新しいフィッシングキャンペーンで3つのファイルレスマルウェアの株を同時に使用して、Microsoft Windowsユーザーをターゲットにしています。 フィッシングメールは信頼できるソースからの支払い報告書を模倣し、添付されたMicrosoft Excelドキュメントの閲覧を求める簡単な要求が含まれています。 このファイルには武器化されたマクロが含まれており、起動すると、被害者の機密データを盗むことを目的としたマルウェアをドロップします。 敵は次のマルウェア形式を配布しています: BitRAT、PandoraHVNC、そして AveMariaRAT.

ファイルレスマルウェアの検出

著名なThreat Bounty開発者の Emir Erdogan は、プロセス作成によってフィッシングメールからドロップされた3つのファイルレスマルウェアサンプルの1つに感染したかどうかを識別するためのSigmaルールをリリースしました:

プロセス作成によるAveMariaRAT / BitRATおよびPandoraHVNCの検出

この検出は、最新のMITRE ATT&CK®フレームワークv.10に沿ったExecutionタクティックで、Command and Scripting Interpreter (T1059) とScheduled Task/Job (T1053) を主要技術としている23のSIEM、EDR、XDRプラットフォームで利用可能です。

Threat Bountyプログラムに参加して、研究者がコンテンツを収益化する唯一のThreat Detection Marketplaceへのフルアクセスを取得してください。 25以上の市場をリードするSIEM、EDR、XDR技術に特化したクロスベンダーおよびクロスツールの検出コンテンツアイテムでセキュリティ武器庫を強化してください。「 検出の表示 」ボタンをクリックして、SOC Primeの豊富な検出アルゴリズムライブラリへの即時アクセスを取得してください。

検出の表示 Threat Bountyに参加する

ファイルレスマルウェアの説明

研究者は Fortinet は、Microsoft Windowsユーザーに影響を与えるフィッシング攻撃シリーズの調査結果を共有しました。このフィッシングキャンペーンでは、脅威アクターが信頼のおけるソースに偽装した不正な支払い報告を送り、悪意のあるMicrosoft Excelドキュメントを使ってフィッシングを行いました。 目的は、電子メール受信者を誘ってマクロを含むファイルをダウンロードさせることにあります。 被害者になりかけた人がこれを開くと、Officeはマクロを無効にすることを推奨するセキュリティ警告を表示します。利用者が推奨を無視して代わりにマクロを有効にすると、マルウェア侵入の入り口が開かれます。

マルウェアはVBAスクリプトとPowerShellを使用して被害者のPCに取得・インストールされます。このコードは3つのコードセグメントがあり、3つのタイプのマルウェアがあります。攻撃によってターゲットとなった人々は、AveMariaRAT、BitRAT、PandoraHVNCという3つのファイルレスマルウェアの株を受け取り、そのマルウェアは機密情報の窃取やその他の悪意あるタスクを実行するために使用されます。

現在、悪意のあるマクロの使用が増加しています。SOC Primeが提供する積極的なサイバー防御ソリューションにより、セキュリティチームは効率的な検出と侵害の早期緩和の可能性を高めます。CTIやMITRE ATT&CKのリファレンス、CVEの説明、その他の関連コンテキスト情報で強化された185,000以上の検出ルール、パーサー、検索クエリ、その他のコンテンツアイテムを備えた Threat Detection Marketplace は、SOC Primeのプラットフォームのリポジトリです。

SOCスペシャリスト志望者もプロフェッショナルも Cyber Library にアクセスして、SIEMに関するハードスキルを習得し、詳細な教育ビデオを視聴し、Threat Huntingに関するハウツーガイドを追いつくことができます。