Lyceum .NET DNS バックドア検出：イラン国家支援のAPTグループが新たなハイジャッキングマルウェアを活用

サイバーセキュリティ研究者は最近、イランの国家支援APTグループである「Lyceum」としても知られるHEXANEによる一連の新しいサイバー攻撃の実態を明らかにしました。 HEXANE。Lyceumの関係者は2017年からサイバー脅威の場で活動しており、主に中東のエネルギーおよび通信産業の組織を標的にしています。最新のLyceumグループのキャンペーンでは、脅威アクターがDNSハイジャッキングの敵対者技術を利用する新しい.NETベースのバックドアを適用しました。

Lyceumグループによってカスタマイズされた.NET DNSバックドアを検出

組織がインフラストラクチャ内で新しいLyceum .NET DNSバックドアの悪意ある存在をタイムリーに特定するのを支援するために、SOC Primeのプラットフォームは関連する脅威に対処するユニークな検出コンテンツのほぼリアルタイム配信を提供しています。登録済みのSOC Primeユーザーは、専用の Sigmaルール を入手できます。これは、私たちの優秀なThreat Bounty Program開発者である Osman Demirによって作成されました。 Threat Bounty Programに参加すると、個別の研究者や脅威ハンターが共同でサイバー防御に貢献することができます。

次のリンクから利用可能なSigmaルールにアクセスするには、アクティブなアカウントでSOC Primeのプラットフォームにサインアップまたはログインしてください：

Lyceum .NET DNSバックドアの疑わしい持続手法：PEファイルをスタートアップに書き込む（file_event経由） – 2022年6月

この検出は MITRE ATT&CK®フレームワーク と一致し、Persistence戦術とBootまたはLogon Autostart Execution (T1547)を主な技術として扱っています。InfoSeCの専門家は、複数のSIEM、EDR、XDR形式の間で簡単に切り替え、19以上のセキュリティソリューションに適用できるルールのソースコードを取得できます。上述したSigmaルールは、SOC Primeの Quick Hunt モジュールを使用してLyceum .NET DNSバックドアに関連する脅威を即座に追跡するためにも適用できます。

Luceum脅威アクターの悪意ある活動に関連する包括的な検出ルールとハントクエリのリストにアクセスするには、 検出＆ハント をクリックしてください。サイバーセキュリティの実務者は、登録なしで、MITRE ATT&CKの参照、CTIリンク、CVE説明などを含むコンテキスト情報を探索でき、SOC Primeのサイバー脅威検索エンジンでトップトレンドを即座に閲覧し、最新のコンテンツ更新を確認できます。

検出＆ハント 脅威のコンテキストを探索する

Lyceum .NET DNSバックドアの解析

Zscaler ThreatLabzチーム は最近、Lyceumグループの最新キャンペーンで使用されている新しい.NETベースのDNSマルウェアについて、世界のサイバーセキュリティコミュニティに通知しました。イラン国家支援のハッキング集団は COBALT LYCEUM or HEXANE とも追跡されており、.NETベースのマルウェアを主に用いるサイバー脅威のアリーナでの5年以上の歴史を持っています。最新のマルウェアキャンペーンでは、オープンソースのツールコードをカスタマイズして新しいDNSバックドアバージョンを開発しました。これらの攻撃では、「DNSハイジャッキング」技術を利用して、DNSプロトコルをC2サーバー通信に悪用することで、検出を回避しながら悪意のある操作を実行することができます。この攻撃技術により、脅威アクターはDNSサーバーを制御し、DNSクエリへの応答を操作することができます。

この最新のLyceumグループのキャンペーンでは、感染チェーンが軍事関連のトピックを利用したマクロ対応Wordファイルによって引き起こされます。有効になると、マクロコンテンツは、感染したコンピューターにDNSバックドアを配信することにさらに至ります。「DnsSystem」とも呼ばれるこのマルウェアは、DNSレコードを利用してC2サーバーからファイルのアップロードおよびダウンロードを含む、妥協されたマシンでのシステムコマンドのリモート実行を許可します。

複数のAPTグループが影響範囲を拡大し、侵略者ツールキットを進化させる中、進歩的な組織は常にサイバー・レジリエンスを強化する新しい方法を探しています。 SOC Primeのプラットフォーム は、InfoSecの専門家が自動化された脅威ハンティングやコンテンツストリーミング機能と組み合わせた精選されたDetection-as-Codeコンテンツを利用して、サイバーディフェンスの潜在能力を向上させることを可能にしています。共同でサイバーセキュリティの専門知識に貢献する機会を探していますか？ Threat Bounty Program は、サイバーセキュリティの研究者が自分自身の検出コンテンツを収益化し、経済的利益を得て、業界内の仲間の間で認知を得ることができるSOC Primeのクラウドソーシングイニシアチブです。