JSOutProx RAT

昨年、インドは最もサイバー攻撃を受けた国として名前が挙がりました。石油・ガス業界および、防衛、銀行、製造部門の重要なインフラが最も一般的な標的として挙げられています。 

2020年4月、インドの政府機関と複数の銀行が、悪意あるJavaScriptとJavaベースのバックドアを配信するメールキャンペーンの標的となりました。このバックドアはJsOutProx RATと関連付けられています。

攻撃者は悪意あるメールにおいて、銀行の受取人に関連するトピックを利用し、メールをより信頼性の高いものに見せかけました。異なるキャンペーンで送信された悪意あるメールのインフラ分析に基づき、研究者はそれらが1つの脅威アクターに帰属するとしました。 

JsOutProxの分析により、スクリプトが異なる環境で実行されうることが示されました。また、以前のJsOutProxの攻撃と比較して、最新の攻撃では脅威アクターがWebサーバ環境を含む異なる展開方法を利用しています。スクリプトはC2サーバから受け取ったコマンドを実行して被害者のシステムを操作でき、PowerShellプラグインやバックドアを含む要素を被害者マシンから削除することができます。最新のスタンプは実行を遅延させることができ、最終的に展開された後、初期化ルーチンを実行して機密情報を収集し、HTTP POSTリクエストでコマンド＆コントロールサーバに送信します。 

アリエル・ミラウェル は、JSOutProx RATの活動を検出するためのコミュニティSigmaルールを作成しました（Sysmon検出）： https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

このルールには以下のプラットフォームに対する翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: インパクト, 防御回避, 永続化

技術: 難読化されたファイルまたは情報 (T1027), レジストリ実行キー/スタートアップフォルダ (T1060), システムシャットダウン/再起動 (T1529)

SOC Prime TDMを試してみませんか？ 無料でサインアップ。 または 脅威報奨プログラムに参加 して、独自のコンテンツを作成し、TDMコミュニティと共有してください。