Phemedrone スティーラー検出: 脅威アクターが Windows SmartScreen の CVE-2023-36025 脆弱性を悪用しマルウェアを展開

今回は、セキュリティ研究者が、パッチが適用されたばかりのWindows SmartScreenの脆弱性（CVE-2023-36025）を利用してPhemedroneペイロードを投入する悪意のあるキャンペーンが報告されました。Phemedroneは、暗号ウォレット、チャットアプリ、人気のソフトウェアなどからデータを抽出することができるオープンソースのインフォメーションスティーラーです。

Phemedroneスティーラーを検知する

サイバー領域で1億以上のマルウェアが流通している中、セキュリティ専門家にはサイバー攻撃を未然に防ぎ、新たな脅威に先手を打つ革新的なツールが求められています。最新のPhemedroneキャンペーンに関連する悪意のある活動を特定するためには、当社の優秀なThreat Bounty開発者によるルールをチェックしてください。 カガン・スカー.

Phemedroneスティーラーの活動で使用される持続化メカニズムの特定（process_creation経由）

上記のルールは、配布中にシステム上に作成されたPhemedroneの持続化メカニズムを検知するのに役立ちます。この検知は27のSIEM、EDR、XDR、Data Lakeソリューションと互換性があり、MITRE ATT&CKフレームワークv14にマッピングされ、豊富な脅威インテリジェンス、攻撃タイムライン、追加メタデータで強化されています。

Windows SmartScreenのセキュリティバイパスの脆弱性を悪用して感染を進めるハッカーを考慮して、サイバー防御者はCVE-2023-36025エクスプロイトの検出に向けた精選された検出スタックを検討するかもしれません。以下の 検出を探る ボタンを押すだけで、ルールセットを詳しく調査できます。

検出を探る

集団的なサイバー防御コミュニティに参加したいですか？同業者とネットワークを形成しながらスキルセットを改善したいセキュリティ専門家は、 SOC PrimeのThreat Bountyプログラム. 

Phemedroneスティーラーキャンペーン分析

トレンドマイクロによる最近の調査 では CVE-2023-36025を利用した防御回避とペイロード配置に依存した最新のPhemedroneスティーラーキャンペーンの詳細が明らかになっています。

Phemedroneスティーラー は、GitHub経由で開発者によって積極的にメンテナンスされているオープンソースのマルウェアサンプルであり、Telegramで宣伝されています。このマルウェアは、ウェブブラウザ、暗号アカウント、人気のメッセンジャーやアプリからデータをダンプすることができます。また、Phemedroneはスクリーンショットを撮影し、システム情報を収集して、TelegramまたはC&Cサーバー経由で敵対者に送信することができます。

現在進行中のキャンペーンでは、脅威アクターがユーザーを騙して悪意のあるインターネットショートカットファイルをダウンロードさせ、感染チェーンを引き起こします。通常、攻撃者はDiscordやクラウドサービスを介してこのような.URLファイルを配布し、URL短縮機能を使用してそれらを隠します。ユーザーが罠にかかったファイルをダウンロードすると、コントロールパネルファイルが実行され、CVE-2023-36025セキュリティバイパスバグを使ってWindows Defender SmartScreenを回避します。その後、.CPLファイルがDLLの実行をトリガーし、PhemedroneのPowerShellローダーをドロップします。

注目すべきは、 CVE-2023-36025 が2023年11月にMicrosoftによって対処されたにもかかわらず、敵対者が依然として脆弱性を武器化し、進行中の悪意のあるオペレーションで利用しているということです。

革新的な悪質な手法を活用した攻撃の増加に伴い、最新の脅威の流行を把握するためには高度な技術が必要です。セキュリティ専門家は、Uncoder AI、業界初の検出エンジニアリング向けIDEを活用して、より速く、よりスマートにコーディングし、65の技術言語形式にアルゴリズムを即座に変換することができます。