PureCrypterローダー検出：悪意のある活動を強化するためにアップグレード; リモートアクセス型トロイの木馬と情報窃取を拡散

サイバーセキュリティ研究者は、完全に機能するマルウェアローダーのより高度なバージョンであるPureCrypterの活動を観察しました。このローダーは2021年3月以来、リモートアクセス型トロイの木馬（RAT）や情報窃盗ツールを積極的に配布しています。PureCrypterを使用して配信された悪名高いマルウェアサンプルには、 AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer、 RedLine Stealerが含まれています。PureCrypterマルウェアローダーの更新された機能には、追加の分析回避技術で強化された新しいモジュール、高度な暗号化、そしてマルウェアオペレーターが検出を回避することを可能にする難読化が含まれます。

PureCrypterローダーを検出する

PureCrypterマルウェアローダーに関連する悪意のある活動を検出し、インフラストラクチャに対する攻撃を防ぐために、経験豊富なThreat Bounty開発者 Osman Demirによって作成された専用のSigmaルールを取得してください。 Threat Bounty Program に参加して、自分自身の検出コンテンツを作成することによりプロフェッショナルスキルを次のレベルに引き上げ、貢献に対する世界的なサイバーセキュリティコミュニティからの認識を受け取ってください。

専用の Sigmaルールにアクセスするには、SOC Primeのプラットフォームにサインアップまたはログインしてください。このルールは、レジストリRunキーへのエントリを追加することによって到達したPureCrypterローダーの永続性を検出します：

レジストリへのRunキー追加による不審なPureCrypterローダーの永続性（via registry_event）

この検出は19種類のSIEM、EDR、XDRフォーマットへの翻訳をサポートし、Persistenceの戦術を扱うMITRE ATT&CK®フレームワークにマッピングされています。主な技術はBoot or Logon Autostart Execution（T1547）です。 MITRE ATT&CK® framework addressing the Persistence tactic with Boot or Logon Autostart Execution (T1547) as the main technique.

登録されたSOC Primeユーザーは、インフラストラクチャ内のマルウェアストレインをタイムリーに特定し、検出規則やクエリが利用可能なDetection as Codeプラットフォームを活用することにより、出現する脅威の流れを常に把握することができます。すべてのSigmaルールの全コレクションを掘り下げ、複数のRATを検出して関連するマルウェアに対抗するには、 Detect & Hunt ボタンをクリックしてください。現在のサイバー脅威の状況を形作る最新トレンドを追いつき、関連する脅威の文脈を探るために？SOC Primeでトップ脅威を即座に検索し、特定のAPTやエクスプロイトを探し、新しくリリースされたSigmaルールに到達し、関連する文脈情報をワンストップで探索してください。

Detect & Hunt 脅威の文脈を探索する

PureCrypterの説明：高度なマルウェアローダーバージョンへの洞察

最近の Zscalerサイバーセキュリティ研究 は、PureCrypterローダーの進化に関する洞察を提供しました。このローダーは、RATや情報窃盗ツールを含む複数のマルウェアストレインを配布し、1年以上にわたるサイバー脅威の舞台で活動しています。このマルウェアローダーは、その開発者が「PureCoder」という名で活動し、積極的に販売および宣伝されています。

感染チェーンは2つのステージを含みます。初期ステージでは、シンプルな.NET PureCrypterダウンローダーがより洗練された第二ステージのモジュールを起動し、主たるペイロードとして役立ち、最終的なマルウェアを注入します。例えば、MSBuildなどのプロセスの一部としてRATや情報窃盗ツールが注入されます。

PureCrypterローダーの作者は、感染ステータスメッセージをDiscordおよびTelegramを介して送信する能力を持つ新しいマルウェアバリアントを強化しました。アップグレードされたマルウェアバージョン内の他のPureCrypter機能には、永続性、注入、防御メカニズムが含まれ、より洗練された暗号化と難読化技術が含まれており、検出を回避します。PureCrypterインジェクターの高度な能力は、起動時に永続性を獲得することを可能にし、Googleのプロトコルフォーマットの使用により、標準のアンチウイルスソフトウェアでは検出が困難になります。

のPureCrypterマルウェアローダーの能力とその影響の範囲が拡大し続けることで、インフォセックの専門家たちは脅威に耐えうるサイバーディフェンスのポテンシャルを強化する方法を模索しています。 SOC PrimeのDetection as Codeプラットフォーム は、異なるレベルのサイバーセキュリティ成熟度を持つ組織に、未来に対応する脅威検出とハンティングの能力を個々のビジネスニーズや複数のSIEM、EDR、XDR環境に合わせて提供します。個々のサイバーセキュリティ研究者や脅威ハンターは、 Threat Bounty Programに参加し、自分自身のSigmaおよびYARAルールを提出し、脅威検出の取り組みを収益化することにより、自己の向上のための深い機会を開くことができます。