MysterySnail攻撃の検出
目次:
Kasperskyのセキュリティ専門家は、Windowsのゼロデイバグ(CVE-2021-40449)を利用してIT企業、軍事請負業者、外交機関を攻撃する洗練されたサイバー諜報活動キャンペーンを発見しました。このキャンペーンは、IronHuskyとして追跡されている中国の支援を受けたAPTグループに帰属されました。ハッカー集団は、最近発見されたCVE-2021-40449を利用して、以前は知られていないリモートアクセス型トロイの木馬『MysterySnail』をシステムに感染させました。
CVE-2021-40449
新しいWindowsのゼロデイ(CVE-2021-40449)には、Win32kドライバのNtGdiResetDC関数に特権エスカレーションの欠陥があります。 調査 によると、Kasperskyによれば、セキュリティホールはユーザーモードのコールバック設定の誤設定に起因し、攻撃者が破損したプロアクティブデータコンテナ(PDC)オブジェクトを利用して任意のカーネル関数を呼び出し、カーネルメモリを読み書きすることを可能にしています。
CVE-2021-40449の欠陥は、古いWindows 7やWindows Server 2008を始めとして、最新のWindows 11やWindows Server 2008に至るほとんどのWindowsクライアントおよびサーバーバージョンに影響を及ぼします。この欠陥はクライアントおよびサーバーの両インストールに存在しますが、攻撃は現地でのみWindows Serverシステムをターゲットにしていました。
この脆弱性は公表されるとすぐにMicrosoftに報告され、ベンダーによって 10月のパッチ火曜日リリース.
MysterySnail RAT
CVE-2021-40449の特権エスカレーションエクスプロイトは、野外で積極的に利用され、Kaspersky研究者によってMysterySnailとして追跡されるカスタムリモートアクセス型トロイの木馬を配信するために使われました。この新しいRATは、侵害されたホストからシステムデータをダンプし、攻撃者のコマンド&コントロール(C&C)サーバーから受け取った一連の基本的な悪意のあるコマンドを実行できるリモートシェル型マルウェアです。トロイの木馬は特に、ファイルの読み取りと削除、任意のプロセスの終了、新しいファイルの作成とアップロード、新しいプロセスの生成、インタラクティブシェルの起動、プロキシサーバとしての機能などが可能です。
専門家によれば、MysterySnailの機能はリモートシェルで一般的であり、特に高度ではありません。それでも、この新しいトロイの木馬は、プロキシとして機能する能力などの追加機能を持つことによって、同類の中でも際立っています。
IronHusky APTとの関連
Kasperskyによる研究は、新しいMysterySnailを中国と関連のあるIronHusky APTと結びつけました。最新のサイバー諜報キャンペーンを分析する際、セキュリティ専門家は、悪意のある操作が2012年にIronHuskyによって使用されたのと同じC&Cインフラストラクチャに依存していることを特定しました。さらに、MysterySnailの分解により、グループに帰属されたいくつかの悪意のあるサンプルとコードの重複が明らかになりました。
最初の痕跡 IronHusky活動の は、2017年にロシアとモンゴルの政府および軍事資産を狙った悪意のあるキャンペーンの調査中に特定されました。2018年には、Kaspersky研究者がIronHuskyの敵対者がMicrosoft Officeメモリ破損の欠陥(CVE-2017-11882)を利用して、PlugXおよびPoisonIvyという中国語を話すハッキング集団が頻繁に使用するRATを配信しているのを検出しました。
MysterySnail RAT検出
MysterySnail RATマルウェアによる可能性のある妥協を防ぐために、私たちの熱心なThreat Bounty開発者がリリースした専用のSigmaルールセットをダウンロードできます。
Windows Zero-Day CVE-2021-40449によるMysterySnail RAT攻撃(プロキシ経由)
Sittikorn Sangrattanapitakによるこのルールは CVE-2021-40449 Windowsゼロデイを介したMysterySnail感染を検出することを支援します。検出には、次のSIEMセキュリティ分析プラットフォーム向けの翻訳があります:Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、Qualys。 helps to detect possible MysterySnail infections via CVE-2021-40449 Windows zero-day. The detection has translations for the following SIEM SECURITY ANALYTICS platforms: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, Qualys.
このルールは、Command and Control戦術に対処するMITRE ATT&CK方法論にマッピングされています。特に、検出はデータエンコーディング(t1132)技術およびアプリケーション層プロトコル(t1071)技術のWebプロトコルのサブ技術(t1071.001)に対処しています。
Windows Zero-DayによるMysterySnail攻撃
Sittikorn Sangrattanapitakによるこのルールは Osman Demir によって、最近発見されたWindowsゼロデイで実行されたMysterySnail感染も検出されます。検出には、次のSIEMセキュリティ分析プラットフォーム向けの翻訳があります:Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Sentinel One, Microsoft Defender ATP FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix。
このルールは、Execution戦術に対処するMITRE ATT&CK方法論にマッピングされています。特に、Command and Scripting Interpreter(t1059)技術のWindowsコマンドシェルのサブ技術(t1059.003)と、Signed Binary Proxy Execution(t1218)技術のRundll32のサブ技術(t1218.011)に対処しています。
Sigmaベースの脅威検出コンテンツを300人以上の研究者によって継続的に更新され、20以上のSIEMとXDRプラットフォームに配信されているSOC Prime’s Detection as Code Platformに登録して、最新情報を入手しましょう。個々のサイバー防御者向けに私たちのクラウドソーシングイニシアチブに参加し、自分自身のSigmaルールを開発したいですか?私たちのThreat Bounty Programに参加しましょう!
