フォローする 
また新しい日、また別のRATがハッカーの関心のあるシステムに潜入しています。今回はネービアンRATというトロイの木馬が脚光を浴びており、Covid-19や世界保健機関の誘引を利用してイタリア、スペイン、英国のユーザーに対する標的型攻撃を進行しています。この新たに発見された脅威はGo言語で書かれており、OSに依存しないため、WindowsとLinuxの両方のユーザーを対象にすることができます。
ネービアンRATを検出する
経験豊富な脅威バウンティプログラムの検出エンジニアによって開発されるSIgmaベースのルールを用いた、’ネービアン’のスケジュールされたタスク作成の可能性を検出する Kyaw Pyiyt Htet:
『ネービアン』RATのスケジュールされたタスク作成の可能性(Cmdline経由)
検出は、最新のMITRE ATT&CK®フレームワークv.10に準拠し、23のSIEM、EDR & XDRプラットフォームで利用可能であり、スケジュールされたタスク/ジョブ(T1053, T1053.005)を主技術として実行戦術に対処しています。
SOC Primeは脅威ハンターにリソースの合理化を可能にし、リアルタイムの脅威検出コンテンツを提供します。私たちのルールコレクションは185,000以上のユニークな検出を持ち、毎月140以上の新しい検出項目が追加されています。 検出を表示 ボタンを押すと、コミュニティ主導のSigmaおよびYARAルールのオアシスに案内され、SOC運用の進捗を向上させるのに役立ちます。
ネービアンRATの説明
による詳細な調査によると Proofpointによると、ネービアンRATは新規で洗練されたマルウェアであり、印象的な回避能力を備えています。このトロイの木馬はGoプログラミング言語で書かれ、悪意ある行動を行うためにさまざまなオープンソースのGoライブラリーを使用しています。このようなトリックにより、ネービアンはすべての主要なオペレーティングシステムをターゲットにできる多目的ツールとなります。クロスOSおよび分析回避機能に加えて、RATはキーロギング、画面キャプチャ、SSLベースのC2通信などのほかの悪意ある機能をサポートしています。
このキャンペーンでは、ネービアンRATの運営者は世界保健機関(WHO)を模倣し、COVID-19に関連するセルフアイソレーション手順に関する虚偽の警告を送信しています。このスパムキャンペーンで配布されるメールにはマクロを含むMicrosoft Word文書が含まれています。それを有効にすると、64ビットのネービアンRATのドロッパーを取得します。
セキュリティアナリストは最初に2022年4月下旬に電子メールベースのマルウェアキャンペーンを検出しました。現在、ネービアンRATマルウェアを配布するキャンペーンの規模は比較的小さいと見なされますが、Proofpointのアナリストは、この株が技術的に洗練されており、十分な悪意の可能性を持っていると警告しています。したがって、すべての証拠が示すように、ネービアンRATは短期間で良いスタートを切ったことは既に明白です。
参加する SOC PrimeのDetection as Code プラットフォームに参加して、業界リーダーによって作成された検出コンテンツの世界最大のライブプールへのアクセスを解除し、環境のセキュリティを強化します。 SOC Primeは、米国ボストンを拠点とし、共同サイバー防御を可能にすることに専念する国際的なSOCエキスパートチームが支えています。SOC Primeを使用して、攻撃により効率的に抵抗してください。
