Merdoorマルウェア検出：Lancefly APTが南アジアと東南アジアの組織に対する長期攻撃でステルスバックドアを使用

最近、Lacefly APTと追跡されている新しいハッカー集団が、南アジアおよび東南アジアの政府、通信、および航空分野の組織を攻撃するためにカスタムのMerdoorバックドアを適用したことが観察されています。最新の報告によれば、これらの標的型侵入は、2018年にまで遡るMerdoorサンプルを活用した長期間にわたる攻撃キャンペーンを示しています。

LanceflyによるMerdoorバックドアの検出

Lancefly APTは、数年間レーダーの下で巧妙にターゲットを攻撃し、カスタムMerdoorバックドアを使用する新顔のプレイヤーです。サイバー防衛者が潜在的な攻撃にプロアクティブに耐える手助けをするために、SOC PrimeのDetection as CodeプラットフォームはMerdoorに関連する疑わしい行動を識別するための関連Sigmaルールを集約しました。

Registry_Eventを通じたレジストリ削除の検出による疑わしいMERDOORバックドアの持続性

私たちの鋭いThreat Bounty開発者によるこのルール Phyo Paing Htun は21のSIEM、EDR、XDR、およびBDPプラットフォームと互換性があり、 MITRE ATT&CK フレームワーク v12 に対応する技術として Modify Registry (T1112) を使用して、防御回避戦術に対処します。

プロのスキルを活かしながらより安全な明日に貢献したいThreat HuntersとDetection Engineersは、SOC Primeの Threat Bounty Programに参加して、共同サイバー防衛の仲間を強化することを大いに歓迎します。独自のSigmaルールを提出し、確認されてThreat Detection Marketplaceに公開されると共に、その貴重な貢献に対して繰り返し支払いを受けることができます。

APT集団が引き起こす増大する脅威のため、セキュリティ専門家は関連するサイバー攻撃をタイムリーに特定するための信頼できる検出コンテンツの源を探しています。「 Explore Detections 」ボタンを押すと、APTグループに関連するツールと攻撃技術を検出するSigmaルールの全コレクションに即座にアクセスできます。すべての検出アルゴリズムには、対応するATT&CK参照、脅威インテリジェンスリンク、その他の関連メタデータが付随しています。

Explore Detections

Medoorバックドア分析

による調査によれば、悪意のあるアリーナで半ば十年間活動していた敵対キャンペーンが2023年5月に明るみに出ました。これらの長期にわたる侵入では、Laceflyというニックネームの新しいAPT集団が、アジアの複数の業界セクターをターゲットとする最近発見されたMerdoorバックドアを活用しています。専門家によると、攻撃者は2020年および2021年の早期にも敵のツールキットでMerdoorを使用していたことから、最新のサイバー攻撃といくつかの類似性を指摘しています。 による調査によれば、悪意のあるアリーナで半ば十年間活動していた敵対キャンペーンが2023年5月に明るみに出ました。これらの長期にわたる侵入では、Laceflyというニックネームの新しいAPT集団が、アジアの複数の業界セクターをターゲットとする最近発見されたMerdoorバックドアを活用しています。専門家によると、攻撃者は2020年および2021年の早期にも敵のツールキットでMerdoorを使用していたことから、最新のサイバー攻撃といくつかの類似性を指摘しています。, an adversary campaign that has been active in the malicious arena for half a decade but has come to light in May 2023. In these long-running intrusions, a novel APT collective going with the moniker of Lacefly leverages a recently uncovered Merdoor backdoor targeting orgs across multiple industry sectors in Asia. Experts found out that threat actors also applied Merdoor in their adversary toolkit earlier in 2020 and 2021, which points to some similarities with the most recent cyber attacks.

報告によると、Lanceflyの攻撃者は主にサイバー諜報活動に焦点を当てており、侵害されたユーザーから情報収集を目指しています。洗練されたキャンペーンで適用されたMerdoorマルウェアは、少なくとも2018年以来注目されています。このマルウェアは自己解凍型アーカイブで、サービスとして自身をインストールし、キーロギングを行うことができ、C2サーバーとの通信に広範な方法を利用します。

以前の悪意のある操作では、Lanceflyの攻撃者はフィッシング攻撃ベクトルを利用しましたが、最新のキャンペーンでは、初期の攻撃ベクトルがSSHのブルートフォース攻撃や公開されたサーバーである可能性があります。また、最新の攻撃では、ユーザーの資格情報を対象システムでダンプするために、PowrShellや合法的なツールの偽装バージョンなどの非マルウェア技術セットを使用して、以前のキャンペーンと似た行動パターンを示しました。

一般的なMerdoorの感染は、正当なプロセスのいずれかにバックドアが注入されることから始まります（perfhost.exe or svchost.exe）、それに続いてC2サーバーとの接続が行われます。さらに、攻撃者はプロセス注入やLSASSメモリのダンプを行うためにコマンド実行を行い、後者はユーザーの認証情報を盗み、標的ネットワークへの拡張アクセスを得ることを可能にします。その後、データの流出前にWinRARアーカイブマネージャーを偽装して使用する可能性があります。また、Lanceflyの攻撃者は悪名高い PlugXマルウェアとリンクされているBlackloaderとPrcloaderを使用していることが確認されています。最新のキャンペーンでは、集合体がより洗練された検出回避技術を適用し、サイズが小さくなったZXShellルートキットのアップグレード版を活用しました。

Lanceflyの攻撃者は APT41グループ と共通のZXShellルートキット証明書を持っているため関連している可能性がありますが、後者は他の中国の裏書きを受けた攻撃者と同様に、他の敵対者と証明書を共有することが知られています。また、Lanceflyは中国のAPTグループの敵対的活動と関連している可能性があります。 ShadowPad を含むキャンペーンでは、中国国家支援の攻撃者の敵対ツールキットで共通して使用されています。それでも、Lanceflyの悪意のある活動を悪名高いハッカー集団のいずれかにリンクさせる十分な証拠はまだありません。

中国のAPTグループを含む国家支援のハッカー集団がサイバー脅威の領域で混乱を引き起こす破壊的な攻撃の増加に伴い、サイバー防衛者はサイバーセキュリティ体制のリスク最適化方法を探しています。SOC Primeによれば、APT関連ツールとサイバー攻撃のための900以上のSigmaルールが ワンクリックで入手可能です！200以上のSigmaルールを無料で入手するか、 でオンデマンドで全検出スタックを取得することができます。.