KNOTWEED活動の検出：ヨーロッパの民間セクター攻撃者（PSOA）によるCVE-2022-22047脆弱性および複数のWindows＆Adobeゼロデイエクスプロイト

2022年7月27日、Microsoftのサイバーセキュリティ研究者は 通知を発表しました 新たに判明した、KNOTWEEDとして追跡されている、欧州の民間セクター攻撃者（PSOA）の最近の悪意のある活動を観察しています。これらは新たにパッチが適用されたCVE-2022-22047脆弱性を含む、WindowsおよびAdobeのゼロデイエクスプロイトを利用しています。研究によれば、脅威アクターは、ヨーロッパや中央アメリカの組織を対象に、新しく作成されたSubzeroマルウェアを利用して標的型サイバー攻撃を開始しています。

KNOTWEEDマルウェアと関連する活動を検出し、CVE-2022-22047の脆弱性エクスプロイトを用いた標的型サイバー攻撃を含む

KNOTWEED脅威アクターの敵対的活動と、彼らの標的型悪意あるキャンペーンで使用されるKNOTWEEDマルウェアサンプルに対抗するための方法を探しているサイバーセキュリティ専門家は、SOC Primeのプラットフォームが提供する一連の専用の Sigmaルールから得られる利点を歓迎します。すべての行動ベースの検出ルールとハンティングクエリは、以下のリンクで登録済みのSOC Primeユーザーが利用可能です。

悪意のあるKNOTWEEDの活動と関連マルウェアを検出するための行動ベースのSigmaルール  

これらの検出アルゴリズムは、業界をリードするSIEM、EDR、XDRフォーマットに変換可能であり、 MITRE ATT&CK®フレームワーク に整合しています。これにより、サイバーセキュリティの効果が向上します。検出コンテンツの検索を効率化するため、上述のSigmaルールは対応するタグ「KNOTWEED」に基づいて割り当てられた敵対的活動に関連しています。

上記のSigmaルールは、サイバー防御者が行動ベースの検出パターンを特定するのに役立ちます。

• 関連のハッキング集団によって発動された標的型キャンペーンで使用されたマルウェアに関連付けられています
• KNOTWEED脅威アクターの悪意のある活動に関連しています

加えて、セキュリティ専門家は、 SOC PrimeのQuick Huntモジュール.

を使用して、KNOTWEED敵対的活動に関連する脅威をすぐに検索することができます。また、SOC PrimeのDetection as Codeプラットフォームは、Threat HuntersやCyber Threat Intelligence専門家がUncoder.CTIを使用してカスタムIOCクエリを生成することを可能にします。このSOC Primeモジュールを利用すれば、わずか数クリックで環境のニーズに合わせたIOCクエリを生成し、選択したSIEMまたはXDRインスタンスで実行できるようになります。以下のリンクから登録済みのSOC Primeユーザーは、KNOTWEED敵対的活動に関連するすべての妥協の指標のリストを詳細に調べることができ、組織の環境でその存在を確認し、潜在的な侵入の痕跡をタイムリーに発見することができます。

Uncoder.CTIを使用したカスタムIOCクエリ生成用のKNOTWEED活動に関連する妥協の指標

年次レポートによれば、 SOC PrimeのDetection as Codeイノベーションレポート, 脆弱性エクスプロイトのプロアクティブな検出 は、2021年のトップコンテンツ優先事項の一つとしてランク付けされ、関連する脅威の増加とゼロデイエクスプロイトの劇的な増加により、2022年も引き続き主要な位置を保持しています。新たに出現する脅威に対応し、ゼロデイ攻撃に対して効果的に防御するために、ゼロデイエクスプロイトのプロアクティブ検出のための包括的なSigmaルールのリストを取得してください。 検出とハント ボタンをクリックしてください。さらに、セキュリティ専門家は、SOC Primeのサイバー脅威検索エンジンを参照することで、KNOTWEEDの悪意のある活動に関連する包括的な脅威コンテキストを得ることができ、MITRE ATT&CKやCTIの参照、CVEの説明、その他関連するメタデータに簡単にアクセスできます。

検出とハント 脅威コンテキストを探る

KNOTWEEDとは？ このグループに帰属するCVE-2022-22047やその他のゼロデイを利用したサイバー攻撃の分析

The Microsoftによって発表された研究は KNOTWEEDの内部動作を詳細に説明し、ハッキング集団をDSIRFと結びつけています。このオーストリアに所在する企業は、世界の組織に情報調査や法医学的サービスを提供することで合法性の外観を確立しましたが、証拠は、この会社もまた、英国、オーストリア、およびパナマの組織をターゲットとするサイバー傭兵グループとして機能していることを示唆しています。Microsoftのサイバーセキュリティ研究者は、DSIRFがSubzeroマルウェアツールセットの開発と配布に関連していることを明らかにしました。

新たに発見されたPSOAは、二つのビジネスモデルを採用しています: アクセス・アズ・ア・サービスとハック・フォー・ハイアーです。KNOTWEEDの脅威アクターは、Subzeroマルウェアを第三者に配布し、それ以上の悪意のある活動には関与しないが、また自ら標的型サイバー攻撃を開始しています。脅威アクターは少なくとも2021年以来、WindowsおよびAdobeのゼロデイエクスプロイトを活用し、複数の産業分野をターゲットにしたスパイウェア攻撃を行っています。 ゼロデイ エクスプロイトによってスパイウェア攻撃を開始しています。

調査によれば、Subzeroのペイロードは、高度な機能を持つ洗練されたマルウェアです。機能セットには、データの流出、キーストロークの記録、スクリーンショットのキャプチャ、広範なC2能力が含まれます。

ゼロデイのWindowsの欠陥（CVE-2022-22047）を使用して権限昇格を行う以外に、KNOTWEEDは、2021年には、CVE-2021-31199、CVE-2021-31201、CVE-2021-28550、CVE-2021-36948 に割り当てられたセキュリティ脆弱性を活用しました。

MITRE ATT&CK®コンテキスト

KNOTWEEDの敵対的活動の背景にあるMITRE ATT&CKコンテキストを探り、関連する行動パターンの洞察を得るため、専用SigmaルールはすべてATT&CKにマッピングされており、以下に示す対応する戦術とテクニックを示しています。

参加する SOC PrimeのDetection as Codeプラットフォーム は、脅威検出能力の加速とハンティング速度の向上を実現し、世界最大のキュレートされたSigmaルールのコレクションに、25以上のSIEM、EDR、XDRソリューションに合わせたリアルタイムの近いアクセスを提供します。Detection Engineers志望者やThreat Huntersは、 Threat Bounty Program に参加して、卓越したサイバーセキュリティの頭脳と協力しながらサイバー防御の将来を保証する機会を得られます。高品質の検出コンテンツを作成し、業界の仲間と共有し、貢献に対して繰り返し金銭的な報酬を受け取ることができます。