攻撃者は、ペイ・パー・インストール(PPI)マルウェア配布プラットフォームであるPrivateLoaderを利用して、NetDookaと呼ばれる新しいマルウェアフレームワークを拡散します。この包括的なマルウェアフレームワークは、ローダー、ドロッパー、カーネルモードプロセス、ファイル保護ドライバ、リモートアクセス型トロイの木馬(RAT)など、いくつかのコンポーネントを持っています。
NetDookaフレームワークの感染チェーンの開始要素は、PrivateLoaderマルウェアのインストールです。このPPIサービスは、次のようなマルウェアの拡散に関連しています: Remcos, Mars Stealer, RedLine Stealer、 Vidar、これらはこのキャンペーンで感染したシステム上に落とされる可能性があります。
NetDookaマルウェアの検出
我々の 優れたThreat Bounty開発者 Sittikorn Sangrattanapitak によってリリースされた以下のルールを利用して、NetDookaフレームワークに関連する疑わしいファイルを検出してください:
ペイ・パー・インストール(PPI)サービスによる疑わしいNetDookaフレームワーク配布マルウェア(ファイルイベント経由)
検出は、最新のMITRE ATT&CK®フレームワークv.10と一致する21のSIEM、EDR & XDRプラットフォームで利用可能で、実行戦術とユーザー実行を主な手法(T1204)として対応します。
SOC Primeの検出コンテンツライブラリには、25以上のSIEM、EDR、およびXDRソリューションと統合可能な検出アイテムが揃っています。「 検出を表示 」ボタンを押して、プラットフォームメンバーが利用可能な185,000以上の将来適応な検出コレクションを閲覧してください。
SOC PrimeのクラウドソーシングイニシアチブであるThreat Bountyに参加し、高いサイバーセキュリティプロセスの基準達成に向けた協力へ私たちの献身を共有しましょう。サイバーセキュリティの専門家は、キャリアの新しい可能性を開くためにThreat Bountyプログラムを活用します。
NetDookaフレームワーク分析
NetDookaフレームワークに関連する最初のアーティファクトは、 TrendMicroの研究チーム によって2022年5月5日に発表されたセキュリティレポートで説明されました。利用可能なデータは、NetDookaマルウェアフレームワークの開発フェーズが続いているにもかかわらず、その驚異的な悪意のある可能性を警告するセキュリティアナリストによって悪いニュースとして提供されています。
PrivateLoader PPIマルウェア配布プラットフォームを通じて配布されたNetDookaマルウェアは、オペレーターが被害者のシステムを乗っ取り、リモートデスクトップ操作を行ったり、キー入力を記録したり、シェルコマンドを実行したり、DDoS攻撃を起動したり、マシンのデータを管理したりすることを可能にします。PrivateLoaderによる感染は、主に違法ウェブサイトから取得された無許可のソフトウェアを通じて拡散され、実装されたSEOポイズニング戦術によって検索結果で高くランクされています。このPPIプラットフォームは以前、主にスティーラーおよび銀行マルウェア、さらにはランサムウェアを配布するために活用されていました。
NetDooka攻撃チェーンは、記事ですでに言及されているいくつかのコンポーネントに依存しています。最初のペイロードは、感染したシステムのアンチウイルスツールを無効化するローダーをもたらします。この時点で、ローダーは今後のステップでRATの操作を保護するためにカーネルドライバーをインストールすることもあります。成功した操作は、NetDookaRATと名付けられた最終ペイロードのドロップに至り、標的の全体または部分的な制御を脅威アクターが得ることにつながります。
ハッキングが進化する中で、我々は適応しなければなりません。ハッカーに遅れをとらないために、積極的な脅威検出が不可欠です。マルウェア配布事例数の大爆発に直面して、 SOC Prime は、23,000以上のサイバーセキュリティ専門家の協力的な専門知識を活用し、セキュリティチームが脅威をより容易かつ迅速に検出できるよう、タイムリーで効率的なソリューションを提供しています。
