新しいFatalRATモデル:パープルフォックスハッカーがボットネットインフラを増強中

[post-views]
3月 31, 2022 · 7 分で読めます
新しいFatalRATモデル:パープルフォックスハッカーがボットネットインフラを増強中

Purple Fox マルウェア は2018年以来、個人コンピュータに様々な被害をもたらし、世界中で30,000台以上のマシンに感染してきました。最新の 研究 によれば Purple Fox ハッカーは 彼らのインフラストラクチャを改良し、新しいバックドアを追加し続けています。

ボットネットの規模を拡大するために、Purple Foxは正規のソフトウェアパッケージを装ったトロイの木馬化されたインストーラーを配布しています。憂慮すべき点は、攻撃者が初期アクセスローダーで起動する新しい到着ベクトルを開発したことです。

アップグレードされたマルウェア FatalRAT は、ウイルス対策回避のための署名済みルートキット兵器を持つ新しいバリアントのリモートアクセス型トロイの木馬です。

FatalRAT 検出

私たちの最新の Sigmaベースの検出は Nattatorn Chuensangarun が担当したもので、Purple Fox マルウェアのオペレーターによるセキュリティソフトウェア回避のためにリツールされた FatalRat の振る舞いを検出します。

セキュリティソフトウェアをバイパスして可能な FatalRAT の振る舞いを回避する(プロセス作成による)

このルールは最新の MITRE ATT&CK® フレームワーク v.10 に新たに対応し、プロセスディスカバリー(T1057)、コマンドおよびスクリプトインタープリター(T1059)、プロセスインジェクション(T1055)技術に対応しています。

もう1つの、非常に生産的な Threat Bounty 開発者 Emir Erdogan が作成した Sigma ルールは、FatalRat のレジストリ挙動を検出します。

可能な FatalRAT 挙動(reg.exe 経由)

このルールは、レジストリの変更(T1112)および難読化されたファイルや情報(T1027)を対象とした MITRE ATT&CK® 技術に対応しています。

FatalRAT の新しいバリアントの可能性のある攻撃を見つけるための現在利用可能なすべての検出コンテンツリストには、「ビュー検出」をクリックして SOC Prime プラットフォーム by clicking View Detections and logging into your アカウントにログインすることで即座にアクセスできます。セキュリティ研究者やエンジニアである場合は、Threat Bounty プログラムに貢献することで専門知識を共有することができます。 検出を見る

Threat Bounty に参加する FatalRAT の分析

FatalRAT の第一段階のローダーは、テレグラム、クローム、アドビ、WhatsApp などのアプリケーションのローダーに似たソフトウェアパッケージ内に隠されています。実行可能ファイル名の末尾の1文字が特定のペイロードに対応しています。この1文字からのリクエストに基づいて、C&Cサーバーに第二段階のペイロードが送信されます。

以前のキャンペーンと同様に、

はHTTPファイルサーバー(HFS)を使用してC&Cサーバーを運用し、サイボーグとして機能する感染マシンのためのファイルをホスティングしています。公開されたHFSサーバーの1つが研究者によって分析され、約9日ごとに約25のパッケージが更新されていることがわかりました。このプロセスは2022年3月末時点でもまだ進行中です。 はHTTPファイルサーバー(HFS)を使用してC&Cサーバーを運用し、サイボーグとして機能する感染マシンのためのファイルをホスティングしています。公開されたHFSサーバーの1つが研究者によって分析され、約9日ごとに約25のパッケージが更新されていることがわかりました。このプロセスは2022年3月末時点でもまだ進行中です。 FatalRATは、攻撃者向けに広範なリモートアクセス機能を備えたC++ベースのインプラントです。感染システムのスキャン結果とボットネットの特定の目的に応じて、さまざまな種類の追加モジュールをダウンロードして実行できます。FatalRATの実行は、マルウェアがレジストリキーやウイルス対策エージェントを見つけた場合に調整されます。

ウイルス対策回避には、幅広い機能を持つポータブル実行可能モジュール(PE)の使用も含まれています。例えば、FatalRATの最新のクラスタの1つは、以前文書化されたPurple Fox MSIインストーラなど、古いマルウェアファミリーにリンクしており、それ以上に追加のPEモジュールでさまざまなルートキットの能力を示し、システムAPIのアドレスを解析し、以前のペイロードから異なるシステムAPIを解決する能力を備えています。

Purple Foxの最新の活動は、FatalRATの拡張された機能のために、SOCチームによる特別な注意が必要かもしれません。カスタマイズされたユーザーモードシェルコードローダーがネイティブローダーに依存せず、実行後に残る法医学的証拠を最小化します。そして、証拠が少ないため、FatalRATの進行中の活動を追跡することが特に困難になります。さらに、マルウェアは正規のコード署名証明書と保護されていないWindowsカーネルドライバーを悪用しています。

SOC Primeの検出をコードとしてのプラットフォームの恩恵を受けて、SOCチームが最も最近の検出コンテンツを最短時間で実装できるようにしてください。 SOCチームが最も最近の検出コンテンツを最短時間で実装できるようにしてください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース