フォローする 
サイバーセキュリティ研究者たちは、新たなフィッシングキャンペーン「MULTI#STORM」に関して警告しています。このキャンペーンでは、ハッカーがJavaScriptファイルを悪用して、RATマルウェアをターゲットシステムにドロップします。MULTI#STORM攻撃チェーンには複数のステージがあり、最終的に拡散されるのは Quasar RAT and Warzone RAT サンプルです。調査によると、このキャンペーンで脅威アクターは米国とインドをターゲットにしています。
MULTI#STORM攻撃の検出
集合的なサイバー防御のためのSOC Primeプラットフォームは、Sigmaと MITRE ATT&CK 技術をバックに、コスト効率の高い最先端ソリューションを提供することで、組織のサイバー耐性を向上させます。MULTI#STORM攻撃検出のための行動ベースのSOCコンテンツでサイバー防御者を武装するために、SOC Primeプラットフォームは、ATT&CKにマッピングされ、市場をリードするSIEM、EDR、XDR、データレイク技術と互換性のある関連Sigmaルールのセットをキュレートしています。
以下の Explore Detections ボタンをクリックして、新しいMULTI#STORMキャンペーンを検出し、組織のインフラストラクチャ内のRATマルウェアの潜在的な痕跡をタイムリーに特定するための包括的なSigmaルールのリストにドリルダウンしてください。すべての検出アルゴリズムには、ATT&CKやCTIリンク、緩和策、対応するバイナリなどの関連メタデータが付加されています。
MULTI#STORMフィッシング攻撃解析
Securonix Threat Labsのサイバーセキュリティ研究者は 主に米国とインドの個々のユーザーをターゲットにする新しいフィッシングキャンペーン「MULTI#STORM」を発見しました。感染チェーンは、Microsoft OneDriveに保存されたパスワード保護ZIPファイルにリンクされた埋め込みリンクをクリックすることから始まります。それには難読化されたJavascriptファイルが含まれており、ダブルクリックすると感染がさらに拡大し、DBatLoaderマルウェアと同様の機能とアタッカーTTPを利用するPythonベースのローダーを使用します。MULTI#STORMキャンペーンの初期攻撃段階で使用されるローダーは、影響を受けたシステムにRATマルウェアサンプルのセットを広げ、持続性を維持し、検出を回避するための高度な技術を利用します。
脅威アクターはまず、 Warzone RATと名付けられた悪名高いトロイの木馬をドロップします。これは暗号化されたC2通信の維持、持続性の維持、パスワード回復が可能であり、またWindows Defenderバイパス機能のような検出回避のための一連の敵対手法を適用します。Warzone RATは、ハッカーがクッキーや人気のあるWebブラウザの認証情報などの機密データを盗むために使用されます。
研究者たちは、MULTI#STORMオペレーションにおけるWarzone RAT実行後にQuasar RATと名付けられた別のペイロードの悪意ある痕跡も観測しました。脅威アクターは、Quasar RATが成功した後、通信のために別のポートを使用しました。
潜在的な緩和措置として、サイバー防御者はOneDriveリンクの使用を継続的に監視し、特にZIPファイルなどの疑わしいメール添付ファイルを開かないこと、不明なバイナリの実行をポリシー更新によって制限することを推奨し、メールセキュリティ保護のための最良のセキュリティプラクティスに従うことを推奨しています。
MITRE ATT&CKコンテキスト
上記のすべてのSigmaルールはATT&CKでタグ付けされており、MULTI#STORMキャンペーンに関連する戦術と技術を示す深いコンテキスト情報を提供し、関連する戦術と技術に対応します。
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
SOC Primeプラットフォームにサインアップ し、現在のセキュリティニーズにマッチする最先端のサイバー防御ツールを入手してください。台頭する脅威を積極的に検出するために、10,000以上のSigmaルールの世界最大のリポジトリを探求し、Uncoder AIを利用してMalSigma & ATT&CKの自動補完、28を超える言語フォーマットへのクイックな双方向クエリ翻訳、およびChatGPTと集合知の力にバックされたサイバー脅威コンテキストとともに検出エンジニアリングを進めるか、Attack Detectiveを活用して300秒未満で検出スタック全体を検証し、サイバー防御のギャップを見つけ、それらに効果的に対応してサイバーセキュリティ体制を強固にします。最新のニュースに追いつきたいですか?私たちのオープンソースサイバー防御者コミュニティに参加してください discord.gg/socprime.
