2022年2月23日、ロシアのウクライナ侵攻前に、データを消去するサイバー攻撃の雪崩のような攻撃が短期間でウクライナに新たなデジタル脅威の波をもたらしました。 WhisperGate and HermeticWiper ウクライナの組織を対象としたマルウェア。 — この攻撃により、金融、農業、緊急対応サービス、エネルギー部門、その他多くの分野を標的とし、国家の市民およびITインフラストラクチャを完全に不安定にすることを目的としていました。サイバー攻撃は膨大な範囲の機密データおよび政府データセットを盗むことを目的としていました。
FoxBladeマルウェアの検出と軽減
FoxBladeマルウェアに関連する不審な活動を検出するには、 我々のThreat Bounty開発者、 オスマン・デミルによって作成された2つのSigmaルールをダウンロードできます。どちらのルールもSOC PrimeのDetection as Codeプラットフォームで利用可能です。新規ユーザーおよび既存のユーザーは、プラットフォームにサインアップまたは既存のアカウントを使用して検出コンテンツにアクセスできます。
FoxBladeマルウェアがウクライナをターゲットにした(プロセス作成経由)
この検出には、以下のSIEM、EDR、XDRプラットフォームの翻訳があります:Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、SentinelOne、Microsoft Defender for Endpoint、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix。
新しいFoxBladeマルウェアがウクライナをターゲットにした(レジストリエベント経由)
このSigmaベースの検出には、以下のSIEM、EDR、XDRプラットフォームの翻訳があります:Microsoft Sentinel、Chronicle Security、Elastic Stack、Splunk、Sumo Logic、ArcSight、QRadar、Humio、Microsoft Defender for Endpoint、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、AWS OpenSearch。
両方のルールは、最新の MITRE ATT&CK®フレームワーク v.10に整合しており、障害防御(T1562)および防御回避(TA0005)技術に対応しており、ツールの無効化または修正(T1562.001)サブ技術を含んでいます。
FoxBlade攻撃から積極的に防御し、インフラストラクチャのリスクを最小化するために無料のMicrosoftソフトウェアを使用することもできます:
- Windows DefenderまたはWindows 7およびWindows Vista用のMicrosoft Security Essentials
- Microsoft Safety Scanner
セキュリティ実施者は、 FoxBladeマルウェア およびその他の隠れた脅威に関連する悪質な行動パターンを検出するためにフルスキャンを実行することも推奨されます。
SOC Primeのユーザーは、ロシアに関連するサイバー脅威を特定するための完全な検出スタックへの無償アクセスを得ることができます。単にサインアップまたは現在のSOC Primeアカウントにログイン、Quick Huntを選択し、環境内で関連する脅威を検索してください:
ロシアが支援するサイバー攻撃のための脅威ハンティングコンテンツの完全なリスト
FoxBlade分析
FoxBladeトロイの木馬攻撃の最初の詳細は MicrosoftのThreat Intelligence Center(MSTIC)によって共有されました。 2022年2月23日。
FoxBladeと呼ばれるマルウェアは、 軽量トロイの木馬およびデータ消去ツールで、主にウクライナの市民のデジタルサービスを標的にしました。データ破壊アルゴリズムはクレデンシャルと個人データを盗むことを狙っています。攻撃者は主にMicrosoft SQL Serverの既知の脆弱性(CVE-2021-1636)を悪用し、後者の未パッチのバージョンを持つすべてのマシンが侵害される可能性があります。
また、Microsoftによると、FoxBladeは被害者のデバイスを所有者の知らないうちにDDoS攻撃にさらします。 最初のアクセス方法は多様でしたが、研究者は少なくとも一度、ワイパーがDefault Domain Policy経由でドロップされたことを指摘しており、これは感染したコンピュータのActive Directoryサーバーにアクセスがあった可能性を示しています。
いくつかのさらなる分析は次のようになります:
- マルウェアはTomcatのエクスプロイトを使用してPowerShellコマンドを実行します。
- ワイパーローダーは、Hermetica Digital Ltd.に発行された証明書で署名された.exeファイルです。
- このファイルには、Lempel-Zivアルゴリズムで圧縮された32ビットおよび64ビットのドライバーファイルが含まれています。
- 次に、ドライバーファイルは正規のEaseUS Partition Masterソフトウェアに発行された証明書で署名されます。ドライバーファイル名はワイパーのプロセスIDを使用して生成されます。
- 最後に、ワイパーは被害者のデバイスを再起動し、マスターブートレコード(MBR)を破壊して操作不能にします。
参加 SOC PrimeのDetection as Codeプラットフォーム に参加して、サイバーセキュリティの専門家のグローバルコミュニティの力で脅威検出能力を強化しましょう。また、 SOC Primeのクラウドソーシングイニシアチブに貢献して共同の専門知識を豊かにすることができます。作成した Sigmaルールをプラットフォームに書いて提出し、それらを公開して定期的な報酬を受け取ることができます。
