FormBook/XLoader マルウェアがウクライナ政府機関を標的に:CERT-UA警告

[post-views]
3月 22, 2022 · 8 分で読めます
FormBook/XLoader マルウェアがウクライナ政府機関を標的に:CERT-UA警告

この記事では、CERT-UAによって実施されたオリジナルのリサーチを強調しています: https://cert.gov.ua/article/37688 

2022年3月9日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ウクライナ政府機関がFormBook/XLoaderマルウェアを使用したサイバー攻撃を受けたと報告しました。ユーザーが悪意のあるメールの添付ファイルを開封した場合、マルウェアが配布されました。

FormBookおよびその後継であるXLoaderは、情報を盗むためのMalware-as-a-Service(MaaS)として配布されています。これらはユーザー入力を取得し、スクリーンショットを撮影し、感染したマシンのファイルを検索し操作するために使用されます。

FormBook/XLoaderによるウクライナ政府への標的:CERT-UAのリサーチ

「キャッシュ供給承認に関する手紙」という件名のメールがウクライナ政府機関に大量に送信されました。メールの内容は戦争および財政援助の提供に関連しており(おそらく、テキストは自動的にウクライナ語に翻訳されたようです)。

メールには「 лист підтримки.xlsx」という名前のXLS添付ファイルがあります。開くと、FormBook/XLoader v2.5マルウェアをダウンロードし実行するマクロが起動します。しかし、その文書の囮内容はウクライナ市民には適していないようです。

マルウェアは、影響を受けたマシン上のソフトウェアに保存された資格情報を盗み、攻撃者のコマンド&コントロール(C&C)サーバーに送信します。

このような攻撃は体系的な性質を持ち、UAC-0041識別子で追跡される活動クラスターに関連付けられています。

CERT-UAがメール添付ファイルを通じて配信されたFormBook/XLoaderによるサイバー攻撃を示すために提供したグラフィックス

世界的な妥協指標(IOC)

ファイル

93feeeab72617e4f5630fd79f2fdd4b6    лист підтримки.xlsx
95d60664267d442e99c41e2aa3baff68    vbc.exe
5a2c58b9ad136ecaea903e47ca7d0727    formbook.exe (Formbook)

ネットワーク指標

mariya@posish[.]club
104[.]168.247.233
hxxp://103[.]167.92.57/xx_cloudprotect/vbc.exe
103[.]167.92.57
gobits3[.]com

偽のドメイン名リスト:humamzarodi[.]info
cillacollection[.]com
phy[.]wiki
londonkhaboos[.]com
robostetics[.]com
bryanheritagefarm[.]com
writingdadsobituary[.]com
uitzendstudent[.]online
kaeltefath[.]com
ooop63[.]website
oncasi-tengoku[.]com
weihiw[.]store
gameshill[.]net
clublebron[.]com
fromuktosa[.]com
hilversumrp[.]com
formigocerdanya[.]com
jokeaou[.]com
bvgsf[.]xyz
reallyreadyservices[.]com
zrbusiness[.]com
homephotomarketing[.]com
evpunk[.]com
hermanmitchels[.]com
globalprotectionllc[.]com
carlab[.]rentals
aocpaysage[.]com
g3kbwq[.]xyz
ojosnegroshacienda[.]com
greenvilletaxfirm[.]com
circuitoristorazione[.]com
chicklet[.]biz
allegiancebookkeeper[.]com
xyyvivo[.]com
cassandracheatham[.]com
gobits3[.]com
upcxi[.]xyz
adjd[.]info
hdwix[.]online
sbxtv[.]info
abodhakujena[.]com
yhomggsmtdynchb[.]store
jeffreylau[.]xyz
lovelypersonal[.]com
lwmdqj[.]com
tapelm[.]com
ulasan-online[.]com
roleplayhr[.]com
avilarts[.]com
marygracerenella[.]com
yellowumbrellamarketing[.]com
ilyapershin[.]com
bellkennedy[.]online
muhammadsaqib[.]tech
certuslogistics[.]com
unforgettableamour[.]com
jtelp[.]com
movinonuprva[.]com
xn--ltda-epa[.]com
knolmail[.]xyz
houstonorganicpestcontrol[.]com
befancie[.]com
typejitem[.]store
zqt2578[.]com
astrologyplatform[.]com

ホスト指標

%PUBLIC%vbc.exe

IOCに基づくハンティングクエリでFormBook/XLoaderを検出

上記のIOCを20以上の最も人気のあるSIEMまたはXDR環境で実行可能な独自のハンティングクエリに自動的に変換するために、SOC PrimeプラットフォームはUncoder CTIツールを無料で提供しています now すべての登録ユーザーが2022年5月25日まで 利用可能です。

 

FormBook/XLoaderを検出するためのSigma行動ベースのルール

FormBook/XLoaderの行動パターンとこのマルウェアに関連する活動を検出するには、SOC Primeプラットフォームで公開されている専用のSigma行動ベースのコンテンツを使用することができます:

FormBookマルウェア動作(ColorCPL-LSASSがCMDを起動)

colorcpl.exeの不審な実行(コマンドライン経由)

MITRE ATT&CK® コンテキスト

FormBook/XLoaderを用いた攻撃のコンテキストをセキュリティ専門家がよりよく理解するのを助けるために、これを検出するSigmaベースのすべてのルールは、次の戦術と技術を対象としたMITRE ATT&CKフレームワークに準拠しています:

Tactics

Techniques

Sub-techniques

Sigma Rules

Execution

Command and Scripting Interpreter (T1059)

Visual Basic (T1059.005), JavaScript (T1059.007)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース