PEAKLIGHT マルウェア検出: 新たなステルス型ダウンローダー、Windows システムへの攻撃で活用

[post-views]
8月 27, 2024 · 6 分で読めます
PEAKLIGHT マルウェア検出: 新たなステルス型ダウンローダー、Windows システムへの攻撃で活用

新たな日、新たなマルウェアがサイバー防御者にとっての脅威を引き起こしています。新たに登場した MoonPeak トロイの木馬の後、セキュリティ専門家は継続的な攻撃で積極的に使用されている別の悪意のあるサンプルを発見しました。PEAKLIGHTと呼ばれるこの新しいメモリーオンリーベースの脅威は、Windowsインスタンスに様々な情報盗みツールやローダーを感染させるために、洗練された多段階の攻撃チェーンを展開しています。

PEAKLIGHT マルウェアの検出

最新の 統計 によると、2023年には、敵は1日平均200,454種類のユニークなマルウェアスクリプトを展開しており、これは1分に約1.5の新サンプルを意味します。新たに発見されたPEAKLIGHTマルウェアのような新興脅威に先んじるために、セキュリティ研究者は脅威検出とハンティングのための信頼できるツールが必要です。

SOC Primeの集団的サイバー防御向けプラットフォームは、PEAKLIGHT関連の活動に特化したSigmaルールの厳選されたセットを提供するとともに、AIによる検出工学、自動脅威ハンティング、先進的な脅威検出のための包括的なスイートを提供します。以下の 検出を探索 ボタンを押すだけで、厳選されたコンテンツコレクションにすぐにアクセスできます。

検出を探索

すべてのルールは MITRE ATT&CKフレームワーク にマッピングされ、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があります。さらに、検出結果には、 CTI 参照、攻撃タイムライン、トリアージ推奨事項

などの豊富なメタデータが付加されています。また、セキュリティ専門家は Uncoder AI、検出工学のための業界初のAIコパイロットを使用して、Mandiantによって提供された レポート に記載された妥協指標を即座にハントできます。Uncoder AIはIOCパッケージャーとして機能し、CTIおよびSOCアナリストと脅威ハンターがIOCをシームレスに解析し、希望のSIEMまたはEDRで実行可能なカスタムハンティングクエリに変換できるようにします。

PEAKLIGHT IOCのクエリへの変換 by Uncoder AI

PEAKLIGHT マルウェア分析

Mandiantの研究者 はPEAKLIGHTとして追跡される新たなPowerShellベースのメモリーオンリードロッパーを発表しました。この新たに特定されたマルウェアは、複数のペイロードを配信するための洗練された多段階感染チェーンを活用しています。特に新たに特定された敵のキャンペーンでは、攻撃者は offensiveness を頻繁に偽装し正当なものと偽るLNKファイルを利用し、レーダーの下に留まるのに効果的です。

攻撃チェーンは、海賊版映画を偽装した武装したZIPファイルのダウンロードから始まります。これらのアーカイブには、難読化されたメモリーオンリーのJavaScriptドロッパーをホスティングするCDNに接続する有害なLNKファイルが含まれています。ドロッパーはホスト上でPEAKLIGHT PowerShellダウンローダースクリプトを実行し、C2サーバーと接続して、 LummaStealer (別名LUMMAC.V2またはLUMMAC2)、SHADOWLADDER、CRYPTBOT情報スティーラーなどの追加ペイロードを取り込みます。感染プロセス中、PEAKLIGHTはハードコードされたファイルパス内のZIPアーカイブの可用性を検証し、存在しない場合はリモートCDNからそれらをダウンロードします。

防御者はさまざまなバージョンのLNKファイルを特定しており、そのうちの一部はワイルドカードとしてアスタリスク(*)を使用して正当なmshta.exeバイナリを覆い隠し、遠隔サーバーから悪意のあるコードを実行します。同様に、ドロッパーは16進コードおよびBase64コード化されたPowerShellペイロードを含んでいることが発見されました。これらは最終的に解凍されてPEAKLIGHTを実行し、感染したシステムにさらなるマルウェアを送り込むことを目的としつつ、本物の映画予告編をダウンロードすることによる注意逸らしを行います。

それぞれが独自の能力を持ち、マルウェアの管理者が洗練された難読化および回避方法(システムバイナリプロキシの実行やCDNの悪用など)を使用していることを強調しています。これにより、感染のリスクを最小限に抑えるためのサイバー靭性の強化が必要であることが浮き彫りになりました。 SOC PrimeのAI駆動の検出工学用の製品スイート全体 を活用することで、組織は洗練された攻撃や新たな脅威に積極的に防御しながら、強固なサイバーセキュリティ体制を築くことができます。



この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko