NIGHT SPIDER：Zloader検出：SOC Primeで悪意のあるトロイの木馬活動から防御する

NIGHT SPIDERのZloaderトロイの木馬はここ数ヶ月、静かに世界規模で活動しており、さまざまな産業の多数の企業に対する侵入キャンペーンを実施しています。

マルウェアをインストールする主な方法は、正規のソフトウェアに隠れていました。初期アクセスを利用するために、攻撃者はバンドルされた .msi インストーラーを使用しました。ペイロードは偵察を目的としていました。既知の技術を使用しているにもかかわらず、悪意のあるスクリプトのより正確な技術仕様が再度更新されました。SOC Primeのコンテンツ開発者は新しいマルウェア株を即座に研究し、 NIGHT SPIDERによって開発された 敵対者の活動を早期に特定できる検出ルールを作成しました。

NIGHT SPIDER Zloaderキャンペーン

当社のThreat Bounty開発者 Sittikorn Sangrattanapitak が提供した新しいSigmaベースのルールは、adminpriv.exeユーティリティを使用してレジストリの値を操作しようとする疑わしいNight Spider活動を検出します。これは2022年3月のZloaderキャンペーン中の敵対者の行動パターンでした。

NIGHT SPIDER Zloaderキャンペーンは管理者権限の操作レジストリ値に使用（プロセス作成経由）

この検出には次のSIEM、EDR、XDRプラットフォームの翻訳があります: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch。

NIGHT SPIDER Zloaderキャンペーンは管理者権限の操作レジストリ値に使用（プロセス作成経由）

この検出には次のSIEM、EDR、XDRプラットフォームの翻訳があります: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch。

ルールは最新のMITRE ATT&CK®フレームワークv.10に適合しており、コマンドとスクリプトインタープリタ技術に対応しています。

さらに、 Zloaderトロイの木馬検出を目的としたルールの完全なリスト をSOC Primeプラットフォームで現在利用可能です。この問題に十分な専門知識を持っていると思いますか？それならば、自分の検出コンテンツをグローバルなサイバープロフェッショナルコミュニティであるThreat Bountyプログラムと共有し、あなたの貢献に対して継続的な報酬を得ることができます。

検出内容を見る Threat Bountyに参加する

NIGHT SPIDER Zloader解析

によれば CrowdStrike の調査に基づき、 NIGHT SPIDERのZloaderトロイの木馬を実行するには、初期のマルウェアインストーラーは、Zoom、TeamViewer、JavaPlugin、またはBrave Browserのような広く使用されているソフトウェアの正規のハッシュを利用しているかのように偽装しています。実行されると、これらのインストーラーはZloaderトロイの木馬を介して自動化された偵察ペイロードをダウンロードし、多くの場合Cobalt Strikeを使用します。

PowerShellコマンドはwscriptユーティリティによって使用され、NIGHT SPIDERのペイロードをリモートでダウンロードするように指示されました。これらのスクリプトはまた、MicrosoftのAntiMalware Scan InterfaceとWindows Defenderを回避するためにPowerShellを活用しました。次に、adminprivユーティリティが攻撃者にレジストリ値を変更するのを助けました。このペイロードは、正規のソフトウェアのハッシュ値を利用して復号化されました。

組織は、NIGHT SPIDERのZloaderトロイの木馬や同様の脅威をできるだけ早く検出して、システムやネットワークに重大な損害を避けようとしています。共同サイバー防衛は、研究開発に多くの時間とリソースを費やさずに、最新の検出コンテンツを把握していたいSOCチームにとって最速かつ最も効率的な選択肢です。 SOC Primeの Detection as Codeプラットフォームを探索して、最高品質のSIGMAルールにアクセスし、20以上のベンダー固有のSIEM、EDR、XDR形式への翻訳を利用してください。正確でタイムリーな検出は、効率的なSOCを24/7/365で組織する鍵であり、エンジニアがより高度なタスクを引き受けることができます。