銀行業界は常にサイバー犯罪者にとって魅力的な標的でした。2007年にZeusとGoziが登場した後、顧客のアカウントを空にすることで注目を集める有名な銀行用トロイの木馬が定期的に見出しを賑わせました。最近、セキュリティ研究者は金融マルウェアファミリーの新たなメンバーを発見しました。今回は、2020年初頭から米国とカナダの銀行セクターをターゲットにした新しい資格情報窃取ツールがこのキャンペーンの狙いです。
キャンペーンの概要
この悪意のある活動は2020年初頭に始まりましたが、セキュリティ研究者は 探知しました 新しい資格情報窃取ツールを2020年第3四半期に。効果的な回避技術を使用していることが明らかです。まず、第1に、このマルウェアはAutoHotKey(AHK)スクリプト言語で作られており、コンパイルを内包せずに感染したPC上で実行できる可能性があります。第2に、脅威は異なるターゲットごとに別々のAutoHotKeyスクリプトを使用して各悪意のあるコンポーネントを個別にロードします。これらの機能の組み合わせにより、資格情報窃取ツールは研究者から見えず、サンドボックス検出を回避します。
この悪意あるキャンペーンのもう一つの注目すべき側面として、「ハッキング依頼」モデルで開始される可能性があります。この悪意のあるソフトウェアのコンポーネントは厳密に体系化されています。さらに、メイン関数や変数のための詳細な指示コメントが提供されています。これらは、マルウェアがサービスとして使用されるために開発されたものかもしれないことを示しています。特筆すべきは、指示がロシア語で書かれており、開発者の出身国の可能性を示唆しています。
新しい銀行マルウェアの能力
多段階の感染チェーンは、マクロが埋め込まれたExcelドキュメントから始まり、おそらくマルスパムやスピアフィッシングを介して配布されます。被害者がVBAのAutoOpenマクロを有効にするように騙された場合、ドキュメントはAutoHotKey(AHK)ダウンローダークライアントスクリプト(adb.ahk)をポータブルAHKスクリプトコンパイラ(adb.exe)を使用してドロップし起動します。この文脈では、adb.ahkは持続性とターゲットのマーキングに使用されます。特に、Cドライブボリュームのシリアル番号を使用して被害者ごとに個別のIDを生成します。このIDは一定であり、成功した感染を追跡するのに利用されます。
コンパイルと持続性の達成後、資格情報窃取ツールは「sqlite3.dll」を影響を受けたデバイスにドロップします。このDLLはSQLクエリを実行して、Microsoft Edge、Google Chrome、Opera、Firefox、Internet Explorer(IE)を含む幅広いブラウザからログインデータを取得します。その後、盗まれた資格情報は、HTTP POSTリクエストを介してC2サーバーに送信されます。注目すべきは、IEパスワード窃取コンポーネントがAutoHotKey言語に変換されたオープンソースの悪意あるコードを使用している一方で、他のコンポーネントは独自でありAHKネイティブであることです。
資格情報窃取攻撃の検出
新しいAutoHotKeyマルウェアの回避能力を考慮すると、積極的な攻撃検出は優先課題です。米国とカナダを標的にする最近発見された資格情報窃取ツールの痕跡を、以下の Osman Demir:
https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/
次のプラットフォームのために規則を翻訳しました:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
MITRE ATT&CK:
戦術: 資格情報アクセス, 持続性, 指令と制御
技術: Webブラウザからの資格情報(T1503)、ショートカットの変更(T1023)、標準のアプリケーション層プロトコル(T1437)
無料で登録 して、SOCの価値あるコンテンツを見つけ、積極的な攻撃検出の実践に利用してください。 私たちのThreat Bounty Programに参加して あなた自身のSigma規則を作成し、SOC Primeの脅威ハンティングコミュニティの一員になりましょう。
