PowerShell RAT検出：戦争関連のインテリジェンスを狙ったオーダーメイドマルウェア

ドイツにいるユーザーは、新たなマルウェアキャンペーンの犠牲になっています。このキャンペーンは、カスタムビルドされたPowerShellリモートアクセス型トロイの木馬（RAT）を拡散することを目的としています。攻撃者は、人々を罠にかけるためにダミーサイトを設定し、ウクライナの状況に関する未発表の情報を提供するという偽のニュースで人々を騙します。被害者は、この件に関するさらなる情報を提供するとされる文書のダウンロードを促されます。この武装されたファイルはカスタムRATをインストールし、攻撃者が侵害されたマシンでリモートコマンド実行（RCE）を行うことを可能にします。

研究データが示すように、現時点で攻撃の責任があるのは誰であるかを正確に示す十分な証拠はありません。

PowerShell RATを検出

経験豊富なThreat Bounty Program検出エンジニアによって開発されたSIgmaベースのルールを使用して、関連する悪意のある活動を特定することで、PowerShell RATによってシステムが侵害されたかを検出します。 Furkan Celik:

カスタム作成されたPowerShell RATスケジュールタスクを検出する（セキュリティ経由で）

この検出は、16のSIEM、EDR＆XDRプラットフォームで利用可能です。最新のMITRE ATT&CK®フレームワークv.10に準拠し、スケジュールタスク/ジョブ（T1053）を主要技術として実行タクティックに対処します。

サイバー脅威ハントおよび脅威検出の確立された専門家は、私たちのグローバルクラウドソーシングイニシアティブに参加することが歓迎されます。新たな脅威に対して防御ラインを維持し、高度なサイバースキルで収益化しましょう。SOC Prime Threat Bounty Programに参加してSIGMA、Yara、Snortルールなどの検出コンテンツのために安定した収入を確立してください。

検出を見る Threat Bountyに参加する

PowerShell RATマルウェア分析

Malwarebytes 研究者たちは、ロシアが支援する可能性のある脅威者からのマルウェアで、ウクライナ危機に関連する情報を入手しようとするドイツのユーザーを標的にしたPowerShell RATを暴露しました。最近のよく計画された攻撃キャンペーンで、攻撃者はバーデン＝ヴュルテンベルク州の統治目的で以前使用されていた期限切れのドメインを利用して偽のウェブサイトを設定しました。騙されたサイト訪問者は、2022年第2四半期のウクライナの脅威状況に関する情報を含むとされるZIPアーカイブをダウンロードするように促され、ダウンロード時に定期的に更新されます。提供されたファイルに含まれていたのは、特注のPowerShell RATでした。

ZIPファイルには、いくつかのコンパイルされたHTMLファイルを含むCHMファイルが入っています。それを開くと、被害者は偽のエラーメッセージが表示されます。背景でファイルはPowerShellを起動し、Base64デオブスクリータを実行してから、バーデン＝ヴュルテンベルクの偽サイトから悪意のあるスクリプトをフェッチして実行します。最終的に、スクリプトは侵害されたマシンに2つのファイルをドロップします: PowerShellで書かれたRATが含まれる.txtファイルと、それを起動するためのPowerShellを可能にする.cmdファイルです。RATはC&Cサーバーからファイルを取得してアップロードし、PowerShellスクリプトをロードして実行し、特定のコマンドを実行します。

これらの攻撃をロシアが支援する脅威者に関連付けることは現時点ではかなり推測的ですが、攻撃者の動機は パターンに合致します. 

常に防御を調整して攻撃者に勝つのは困難に思えるかもしれませんが、私たちは団結しています！23,000人以上のSOC専門家から成る世界最大のサイバー防御コミュニティの力を活用して、あなたのセキュリティ実務を強化しましょう。 SOC Prime.