Parrot トラフィック ディレクション システム (TDS) 攻撃

新たなトラフィック・ダイレクション・システム（TDS）であるParrot TDSは、ハッキングされたサーバーのネットワークを利用して、特定のプロファイルに該当する被害者を詐欺スキームの実行やマルウェアの配布に使用されるドメインに誘導する。この度のデータによれば、被害を受けたウェブサイトの数は16,500に達しており、増加中です。攻撃者は主に、教育機関、政府系リソース、成人向けコンテンツプラットフォームの合法的なサーバー、ホスティングデータベース、ウェブサイトをターゲットとしています。

Parrot TDSに関連する悪意ある活動を検出する

Parrot TDSのオペレーターによってシステムに仕掛けられた悪意のあるファイルを検出するために、私たちのThreat Bounty開発者が作成したSigmaベースのルールを利用してください。 Furkan Celik、常に新たな脅威を監視しています：

Parrot Traffic Direction System(TDS)がWebサーバーをNetSupport RATインストールでハイジャック（file_eventを介して）

この検出機能は、以下のSIEM、EDR、およびXDRプラットフォームに対応しています：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearch。

このルールは最新のMITRE ATT&CK®フレームワークv.10に準拠しており、リモートアクセスソフトウェア（T1219）を主要なテクニックとするコマンドおよびコントロール戦術に対応しています。

SOC Primeのプラットフォームにある膨大なルールライブラリを参照して、他の関連する脅威検出コンテンツを見つけ、システムに悪意あるファイルが感染しているか確認してください。あなたは、世界最大のサイバーセキュリティコミュニティとあなたの専門知識を共有することを望むプロの脅威ハンターですか？脅威の報奨プログラムに参加して、継続的な報酬と認知を得るためのクラウドソーシングイニシアチブに参加してください。

検出表示 脅威の報奨プログラムに参加する

Parrot TDSを使用するキャンペーン

の研究者たちによる新しい報告によると、 Avastによると、Parrot TDSは2021年10月頃に出現し、このツールを利用するキャンペーンの数が2022年2月に急増しました。

Parrot TDSは、より有害なキャンペーンが潜在的な被害者に届くポータルとして機能します。このシナリオでは、FakeUpdates（SocGholishとも呼ばれます）がJavaScriptを用いて感染サイトの外観を改変し、ブラウザーのアップグレードのための偽の警告を表示し、手元ですぐにダウンロード可能なファイルを提供します。被害者が実際に手に入れるのは遠隔操作ツールです。

欺かれたユーザーが感染サイトを訪れると、Parrot TDSは侵害されたウェブサイトにインストールされた注入されたPHPスクリプトを使用してクライアント情報を収集し、コマンド＆コントロール（C2）サーバーにリクエストを送信し、攻撃者が任意のコードを実行できるようにします。C2サーバーは被害者のシステム上で動作するJavaScriptコードを返し、さらなるリスクにさらされる可能性があります。悪意のバックドアPHPスクリプトと共に、攻撃者にウェブサーバへの継続的なリモートアクセスを提供するウェブシェルも発見されました。このペイロードはステルスに実行するようにセットされたNetSupportクライアントRATであり、侵害されたマシンへのアクセスを許可します。言及されたウェブシェルは、ほぼ同一の名前で複数の場所にさらにコピーされます — したがって、TDSのニックネームの“パロッティング”の由来です。

Parrot TDSのオペレーターは、WordPressおよびJoomlaで運営されるウェブサイトをホスティングするサーバーの悪用にその悪意を集中させています。これは、2020年初秋の前任者であるPrometheus TDSとは異なります。Prometheus TDSキルチェーンでは、脅威者はHTML添付ファイル、Google DocsのURL、またはハッキングされたサーバーにホストされたウェブシェルへのリンクを含むスパムメールを使って悪意のあるプロセスを開始しました。悪意のあるURLは、プロメテウスPHPバックドアに被害者を誘導し、必要な情報を収集して、攻撃の背後にいる脅威者がユーザーにマルウェアを直接提供するか、ハッカーによって設定された別のURLに転送するかを決定するために管理パネルに送信しました。

フォロー SOC Primeブログ のアップデートを通じて、最新のサイバーセキュリティの注目トピックを学び、あなたの脅威ハンティング能力を向上させましょう。世界最大のサイバーディフェンスコミュニティとあなたの検出コンテンツを共有することに熱心ですか？世界中のサイバーセキュリティ研究者およびコンテンツ作成者は 協力的なサイバー防御に貢献し、定期的な報酬を獲得し、現在および進化する脅威との戦いで貢献することをお待ちしております。