GuLoader検出：マルウェアがフィッシングメールを通じて米国の金融機関を標的に

税務シーズンが本格化し、脅威アクターは金融機関に目を向けています。最新のサイバーセキュリティレポートによれば、米国の会計事務所や他の金融機関は、2022年3月以降、GuLoaderマルウェアを拡散する一連の攻撃キャンペーンの標的となっています。脅威アクターは、フィッシング攻撃ベクターと税関連の偽情報を利用して、GuLoaderの悪意あるサンプルを拡散しています。

GuLoader攻撃の検知

税務シーズンを利用して、脅威アクターは高度な攻撃とソーシャルエンジニアリングを組み合わせて被害者を誘い、貴重な財務データにアクセスしようとしています。重要な組織資産を保護し、可能性のある侵入をタイムリーに特定するために、セキュリティプラクティショナーには信頼できる検知コンテンツが必要です。

SOC Primeの「Detection as Code Platform」は、税関連の餌を利用して米国の金融機関を標的にする、GuLoaderの最新の変更を検知するためのSigmaルールのバッチを提供しています。

レジストリを修正してプロパティ値を取得することでGuLoaderの持続性の可能性（registry_eventを使用）

このルールは、私たちの熱心なThreat Bountyデベロッパーが執筆しました Nattatorn Chuensangarun は、プロパティ値を取得するPowerShellコマンドを実行してレジストリ実行キーを修正することで、疑わしいGuLoaderマルウェアの活動を検知します。この検知は、20のSIEM、EDR、XDRソリューションと互換性があり、 the MITRE ATT&CK®フレームワーク の防御回避戦術に対処し、Modigy Registry（T1112）を対応する技術としています。

金融セクターを標的にする関連コマンドの検知による疑わしいGuLoaderマルウェアの実行（ps_scriptを使用）

第二のSigmaルールは、私たちの多作なThreat Bountyデベロッパーが執筆しました Onur Ataliは、GuLoaderマルウェアがマルウェア機能を実行するために使用する疑わしいコマンドを検知します。この検知アルゴリズムは、16の業界をリードするセキュリティ分析プラットフォームで適用でき、ATT&CKにマッピングされており、実行戦術とコマンドおよびスクリプトインタープリター（T1059）技術を対処しています。

新進気鋭のサイバーセキュリティ専門家も経験豊富なプロフェッショナルも歓迎されます。SOC Primeの Threat Bountyプログラム に参加し、業界の仲間と検知コンテンツを作成し共有しながら、集合知を豊かにし、コンテンツ貢献を収益化することができます。

GuLoaderマルウェアの急速な進化とその検知回避技術が強化される中で、進歩的な組織は感染をタイムリーに特定するための防御能力を磨くことに努めています。 検知を探索 ボタンをクリックして、GuLoaderマルウェアの完全な検知スタックにアクセスし、MITRE ATT&CKリファレンスやCTIリンクなどの関連するメタデータを取得してください。

検知を探索

GuLoaderローダーマルウェアはCloudEyEとも呼ばれ、最近の敵対者のキャンペーンで米国の金融セクターを標的にしていることが観察されています。これらの攻撃では、脅威アクターは税をテーマにしたフィッシングルアーを使用して、マルウェアサンプルを拡散します。

GuLoaderは、分析回避と検知回避技術の一連を利用する最も高度なローダーの1つと見なされています。また、このローダーは、情報窃取型マルウェアやRATなどの他の悪意あるサンプルを配信することも可能です。例えば、COVID-10パンデミック中のフィッシング攻撃の増加に伴い、GuLoaderは FormBookトロイの木馬 を侵害されたシステムに展開するために使用されました。GuLoaderの最新のイテレーションでは、難読化されたVBSとPowerShellを使用して、 Remcos RATなどの追加のマルウェアサンプルをドロップしています。合法的なプロセスへのコードインジェクションにより、脅威アクターはアンチウイルスツールや他のセキュリティ保護ユーティリティを回避し、サイバーディフェンダーに挑戦をもたらします。

調査によると eSentire’s Threat Response Unit は、フィッシング攻撃ベクターを悪用するGuLoaderマルウェアキャンペーンの進行中のいくつかの側面を明らかにしました。これらの攻撃は、2022年初春の税シーズン中に初めて観察され、フィッシングメールを利用して感染チェーンを引き起こします。悪意あるメールにはAdobe Acrobatへの誘引リンクが含まれており、ターゲットユーザーにパスワード保護されたファイルアーカイブをダウンロードさせることができます。後者には、PowerShellを使用して侵害されたシステムに追加のペイロードを展開することができる、PDF文書に偽装したLNKファイルとダコイ画像が含まれています。

一旦インストールされると、GuLoaderはレジストリの実行キーを使用して持続性を実現します。成功したインストールにより、攻撃者はターゲットシステムを完全に支配し、さらに追加のマルウェアキャンペーンを展開することができます。

フィッシング攻撃の増加に伴い、組織はサイバーセキュリティの意識を高め、システムに最新のアンチウイルスソフトウェアと他のセキュリティ保護ツールをインストールする方法を模索しています。SOC Primeの充実した ナレッジベース、サブセカンドパフォーマンスで検索可能かつ更新済み, を探索して、フィッシング攻撃の検知用Sigmaルールの全リストを調べてください。すべての検知は、自動的に27以上のSIEM、EDR、XDRソリューションに変換可能で、実行可能なサイバー脅威のコンテキストで強化されています。