ModernLoaderボット、別名Avatarボットは、C&Cサーバーからのファイルのダウンロードと実行、システム情報の収集、任意の命令の実行能力を有する.NETリモートアクセス型トロイの木馬です。マルウェアによるリモートコントロールにより、脅威アクターは侵害されたネットワークをボットネット拡散に利用します。
証拠の連鎖は、これらの攻撃がポーランド、ハンガリー、ブルガリア、ロシアのユーザーを標的とする新しいロシア語を話すサイバー犯罪集団に帰される可能性があることを示唆しています。攻撃者はWordPressとCPanelの脆弱性を悪用し、Amazonギフト証明書に偽装された悪性インプラントをダウンロードさせるようにユーザーを誘導します。
ModernLoaderボットを検出
ModernLoader RATからの防御を積極的に行うために、SOC Primeは独自のコンテキスト強化された Sigmaルール を発表しました。 Threat Bountyプログラム の貢献者 Aykut Gürses:
ModernLoaderの暗号マイナーとRATのスケジュールタスク検出(コマンドライン経由)
この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、Devo、LimaCharlie、Snowflake、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、AWS OpenSearch、Carbon Black、Securonix、Open DistroなどのSIEM、EDR & XDRプラットフォームのために翻訳されています。
ルールはMITRE ATT&CK®フレームワークv.10に整合されており、スケジュールされたタスク/ジョブ(T1053)の主なテクニックを持つ実行戦術に対応しています。
最新のサイバー脅威のトレンドを追跡することを目指すセキュリティプロフェッショナルにとって、業界初のサイバー脅威検索エンジンは利益をもたらします。「 脅威コンテキストを探索 」ボタンを押すことで、トップRAT関連の脅威と新しくリリースされた検出アルゴリズムのプールを一瞬でナビゲートし、関連するコンテキスト情報を1か所で探索できます。最新のサイバー脅威のトレンドを追跡することを目指すセキュリティプロフェッショナルにとって、この広大なコンテンツライブラリの閲覧は利益をもたらします。今では20万以上のコンテキスト強化された検出が含まれています。「 プランを選択 」ボタンを押してサブスクリプションプランを検討しましょう。手間なく敵の先を行きましょう!
ModernLoader配布キャンペーン
Cisco Talos の研究チームは、2022年3月から6月の期間におけるマルウェアの津波のような配布を検出しました。観察された攻撃とニュース報告に基づいて、3つのマルウェア配布キャンペーン、ModernLoader RAT、 RedLine 情報スティーラーマルウェア、および 仮想通貨マイナーを特定できます。攻撃者はPowerShell、.NETアセンブリ、HTAおよびVBSファイルを活用してネットワークを横断し、追加の悪意あるペイロードを展開します。これらの攻撃は、さまざまな業界セクターにおける世界的な組織を重大なリスクにさらします。
列挙されたキャンペーンの背後にいる脅威アクターは、市販のツールを使用しています。研究者たちは、犯人側の技術的スキルの欠如を指摘しています。
2022年には、世界中のサイバー攻撃件数が前年の記録を超えることが予想されています。私たちは『Follow the Sun』モデルを採用し、異なるタイムゾーンにいる業界リーダーによる脅威への迅速な対応を確保しています。それにより、顧客は『Detection as Code』アプローチを活用して最良の結果を得ることができます。業界リーダーが作成した包括的ソリューションで敵を出し抜きましょう。 SOC Prime.
