今週、 リー・アーチナル、Threat Bounty Programの寄稿者が、また別の情報スティーラーを検出するためのコミュニティSigmaルールを投稿しました。「Immortal Stealer (Sysmon Behavior)」ルールは登録後にThreat Detection Marketplaceからダウンロード可能です。 https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1
Immortal Infostealerは約1年前にダークウェブフォーラムに登場し、さまざまなビルドベースのサブスクリプションが提供されています。これは.NETで書かれた一般的なマルウェアで、保存されたログイン資格情報やクレジットカードデータ、クッキーファイル、自動入力データを盗むよう設計されています。感染直後にマルウェアは一時フォルダにランダムな名前のディレクトリを作成します。
Immortal Stealerは24のブラウザからデータを抽出し、TelegramおよびDiscordからセッション関連ファイルを盗み、暗号通貨ウォレットソフトウェア関連のファイルをコピーし、デスクトップのスクリーンショットを撮ることができます。「作業」が完了すると、マルウェアは盗まれたデータをZIPアーカイブに圧縮し、コマンドアンドコントロールサーバーに外部送信し、悪意のある活動の痕跡を削除しようとします。
このルールには以下のプラットフォーム向けの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 守備回避
技術: ファイル削除 (T1107)、レジストリの変更 (T1112)
SOC Prime TDMを試してみませんか? 無料でサインアップ。または Threat Bounty Programに参加して 自分のコンテンツを作成し、TDMコミュニティと共有しましょう。
