新しいBEATDROPとBOOMMICマルウェアファミリー:APT29によるフィッシングキャンペーンとHTML密輸技術、スパイ活動目的の長期アクセス

[post-views]
5月 03, 2022 · 6 分で読めます
新しいBEATDROPとBOOMMICマルウェアファミリー:APT29によるフィッシングキャンペーンとHTML密輸技術、スパイ活動目的の長期アクセス

APT29は、サイバーセキュリティの専門家によって Nobelium APTとも称されるロシアの国家支援による諜報グループです。彼らの攻撃の範囲は、ロシアの現在の地政学的目標に対応しています。最新の攻撃は、BOOMIC (VaporRage) マルウェアを展開するために、BEATDROP および BEACON ローダーを使用することが特徴です。

セキュリティアナリストは、最新のフィッシングキャンペーンが、諜報目的で環境内でのアクセスを維持するために、外交官や異なる政府機関を対象とするように作成されたと報告しています。

APT29アクティビティの検出:新しいBEATDROPおよびBOOMICマルウェア

以下のルールは、次のインジケーターによってAPT29の悪意のある存在を検出します:脅威アクターの 横移動 として、SharedRealitySvcDLCという名前のスケジュールされたタスクを通じてそれを展開します。SMB BEACONを複数のシステムに用いてリモートシステム上でのBEACONのステージングを容易にする。pipe_eventログを介したSMB BEACONペイロードの検出。 私たちのトップクラスのThreat Bounty開発者によって開発されたルール Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:

SMB BEACONのステージングによる可能性のあるAPT29グループの横移動(process_creation)

BEACONスケジュールタスクの使用による可能性のあるAPT29の横移動(cmdline経由)

SMB Beaconを介した疑わしいAPT29の横移動(pipe_event経由)

予定されたタスク作成による疑わしいSMB Beacon(APT29)(2022年4月)永続性(security経由)

APT29フィッシングキャンペーンは、BEATDROPおよびBOOMICマルウェアをダウンロードする(process_creation経由)

プレス すべて表示 ボタンを押して、SOC PrimeのプラットフォームのThreat Detection Marketplaceリポジトリで利用可能なAPT29に関連する検出の完全なリストを確認してください。

業界のリーダーとつながり、自身のコンテンツを開発したいですか?SOC Primeのクラウドソースの取り組みにコンテンツ寄稿者として参加し、自身のSigmaおよびYARAルールを世界のサイバーセキュリティコミュニティと共有し、世界中で共同のサイバー防衛を強化しましょう。

検出を見る Threat Bountyに参加する

APT29 フィッシングキャンペーンの詳細

この多面的なフィッシングキャンペーンに関する最初の概念は、2022年初頭に登場しました。研究者は Mandiant が大使館からの管理通知を模倣してAPT29がスピアフィッシングメールを送信し、元々外交機関に属していた正当だがハッキングされたメールアドレスを使用していることを発見しました。Atlassian社のTrelloのような合法的なクラウドサービスを指令および制御のために使用することは、被害者が識別および緩和を困難にする試みである可能性が高いです。

このフィッシングキャンペーンでは、攻撃者はHTML5とJavaScriptを用いてHTML添付ファイルやウェブページ内で文字列を暗号化し、有害なペイロードを隠すフィッシング手法であるHTMLスミアリングを使用しました。ユーザーが添付ファイルを開くかリンクをクリックすると、ブラウザがこれらの文字列をデコードします。APT29のアクターは、IMGおよびISOファイルを配信するためにこれを使用しました。これは悪名高い SolarWinds サプライチェーン攻撃でその効率性が証明された彼らの長年の方法です。

次に、セキュリティアナリストはCで書かれたBEATDROPとC++ BEACONのダウンローダーの展開を検出しました。BEATDROPはTrelloにC2通信のために接続し、一度設立して停止したスレッドに注入されるとメモリ内で運用されます。現在のデータによれば、敵者はそれをより効率的なC++ BEACONに切り替え、ポートスキャン、スクリーンショットの取得、キーストロークのキャプチャ、データの外部流出を可能にします。

BEATDROPとBEACONは、BOOMICまたはVaporRageを配置し、システムに継続的な侵入を確立するために使用されます。

SOC Primeの Detection as Codeプラットフォーム に参加し、共同防御のベストプラクティスの利点を活用しながら、定期的な利益を得ましょう。SOC Primeはまた、ロシアの ウクライナ侵攻 とロシアに結びついた国家支援のサイバー攻撃の増加に照らして、私たちのDetection as Codeプラットフォームで利用可能な大規模な無料のSigmaルールのコレクションをリリースしました。この検出コンテンツは、SOC PrimeチームとThreat Bountyプログラムの開発者による広範な研究に基づき、高知名度のAPTによる攻撃に対してサイバー防御専門家が目を光らせるのを支援します。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事