OriginLogger マルウェア検出：研究者がAgentTeslaの後継を解明

OriginLogger と呼ばれるマルウェアは、使いやすいウェブパネル、スマートロガー、強力なキーボードフックを備えた魅力的な RAT として宣伝されています。OriginLogger マルウェアの説明には、複数言語対応の機能も詳細に記載されています。このマルウェア株は、Windows ベースのオペレーティングシステムで実行するように設計されています。

OriginLogger RAT は、別の悪名高いキーストロークロガーである AgentTesla が明白な法的問題により合法的なソフトウェア市場から排除されたため、代替として推奨されました。

OriginLogger マルウェアを検出する

OriginLogger オペレーターによってシステムに植え付けられた悪意のあるファイルを検出するには、IOC ベースの Sigma ルール を使用してください。これは Threat Bounty の開発者である Chayanin Khawsanit:

によって作成されました。以下のファイルイベント検出は Agent Tesla 感染の原因となるドロッパー活動を特定しました。

この検出は、26 の SIEM、EDR & XDR プラットフォームで利用可能であり、 MITRE ATT&CK® フレームワーク v.10 に沿っており、リソース開発と実行の戦術に関して、能力開発 (T1587) およびユーザー実行 (T1204) の手法を扱っています。

脅威ハンター、SOC および CTI アナリスト、検出エンジニアは、SOC ルーチンを自動化し、検出コードのコンテンツの展開と管理を簡単に行うことで、時間を節約し、リスクを軽減することができます。SOC Prime の実証済みのソリューションの一例として、 Uncoder CTIがあり、これにより、検出コンテンツの調査とコーディングに時間を費やす代わりに、インシデント対応や他の優先度の高い活動に集中することができます。

検出の探索  

OriginLogger マルウェアの分析

OriginLogger は、AgentTesla と呼ばれるスパイウェアにルーツを持ちます。によって発表された詳細な研究によると、 Unit 42、OriginLogger は Agent Tesla のバリアントです。具体的には、第三のリリースバージョン、別名 “AgentTeslav3” です。Agent Tesla は、.NET を使用して構築された商業用キーロガーおよびリモートアクセス型トロイの木馬であり、2014 年から稼働しており、犯罪ハッカーが侵害されたネットワークにリモートアクセスして機密データを盗むことを可能にしています。

両方のキーロガーは、ランダムなドイツの市民のパスポートのコピー、クレジットカードの写真、およびいくつかの Excel ワークシートを含む偽の Microsoft Word 文書を介して配布されます。これらのワークシートには、MSHTA を介してリモートサーバーの HTML ページの内容を取得して実行する VBA マクロが含まれています。感染の連鎖は、被害者のデバイスが難読化された PowerShell コードおよび 2 つのエンコードされたバイナリで感染する結果をもたらします。マルウェアは、侵害されたデバイスとの相互作用を収集し続けます。

検出コンテンツの 広大なライブラリを 閲覧して、他の関連するアルゴリズムを見つけ、システムが悪意のあるファイルで感染しているかどうかを検出してください。 世界最大のサイバーセキュリティコミュニティと専門知識を共有しようとするプロの脅威ハンターですか？ 私たちの『脅威バウンティプログラム』の連続的な報酬と認識のためのクラウドソーシングイニシアチブに参加してください。 Threat Bounty program.