Manjusaka攻撃フレームワーク検出：新しいマルウェアファミリーが急速に作戦を開始

「Manjusaka」と呼ばれる新しい攻撃フレームワークが現在野放しにされています。「Manjusaka」という名前は「牛の花」を意味し、攻撃フレームワークが有する高い攻撃力を表現するものとは程遠いものです。十分な証拠から、このマルウェアファミリーのキャンペーン運営者は中国を拠点としていると考えられています。

Manjusakaの開発者は、WindowsとLinux OSをターゲットに設計しており、その攻撃能力は Cobalt Strike やSliverに類似しています。

Manjusakaハッキングフレームワークを検出する

Manjusakaオフェンシブフレームワークを利用する可能性がある攻撃を特定するには、一連の Sigmaルールをダウンロードしてください。コンテンツは、私たちの熱心な 脅威報奨プログラム の検出エンジニアである Nattatorn Chuensangarun and と:

Emir Erdoganによって公開されました。

このルールにより、マルウェアユーザーエージェントとManjusaka C2フレームワークと被害者との通信の検出が可能になります。検出は26のSIEM、EDR & XDRプラットフォームで利用可能であり、 MITRE ATT&CKフレームワーク v.10に準拠しています。

SOC Primeのライブラリには、26以上のSIEM、EDR、およびXDRソリューションに統合可能な検出アイテムがホストされています。「 Detect & Hunt 」ボタンを押して、プラットフォーム会員向けに利用可能な200,000を超える未来を見据えた検出のコレクションを閲覧してください。アクティブなSOC Primeプラットフォームアカウントを持っていない脅威ハンターは、「 Explore Threat Context 」ボタンを押して登録ユーザーとしての特権をアンロックできます。

Detect & Hunt Explore Threat Context

Manjusakaフレームワークの説明

Manjusakaマルウェアファミリーの開発者は現在、GoLangで書かれたC2のバージョンを簡体字中国語のユーザーインターフェイスでGitHubを通じて無料で提供しています。これにより、新しいカスタム悪意のあるインプラントを簡単に生成できます。Rustで書かれたインプラントは、多数のRAT機能を組み込んでおり、その分析は Cisco Talosによって公開されています。セキュリティ研究者は、インプラントのEXEおよびELFバージョンを報告しています。マルウェアは、被害者の資格情報、Wi-Fi SSID情報、その他のシステム情報などの機密データを盗むことができるようにします。Manjusakaには、スクリーンショットのキャプチャ、ファイルとディレクトリの管理、任意のコマンドの実行ができます。

研究されたマルウェアの事例は、Manjusakaがまだ開発段階にあることを示しており、近い将来には他の人気のあるプラットフォーム、例えばmacOSも対象となる可能性があるという悪い知らせを示しています。

サイバーセキュリティのエキスパートは、無償で SOC PrimeのDetection as Code プラットフォームにサインアップして、最新の脅威を検出し、ログソースとMITRE ATT&CKのカバレッジを改善し、自組織のサイバー防御能力を高めるために積極的に貢献することができます。有望な検出エンジニアは、SOC Primeの 脅威報奨プログラム （クラウドソーシングイニシアチブ）に参加し、サイバーセキュリティプロセスの高い基準を達成し、継続的に発生する脅威に対抗するレジリエンスを高めるために協力する私たちの献身を共有することができます。