パープルフォックス・ルートキットがワーム拡散機能を獲得

Guardicore Labsのセキュリティアナリストは最近、悪名高いPurple Foxルートキットの新しいバリアントを検出しました。これにより、Windowsマシン全体にワームとして拡散します。この最新のマルウェアのアップグレードにより、Purple Fox感染は2020年春から600％の増加を示し、重大なスパイクが生じています。この継続的なキャンペーンは、ポートスキャンとセキュリティが不十分なSMBサービスに大きく依存し、マルウェアオペレーターがエクスプロイトキット機能から切り替えたことを強調しています。

Purple Foxルートキットの概要

Purple Foxは、ルートキットとバックドア機能を強化されたファイルレスマルウェアダウンローダーです。2018年に出現して以来、この脅威は様々なトロイの木馬、暗号通貨マイナー、情報盗難型ストレイン、ランサムウェアのサンプルを配信するために敵対者によって積極的に使用されています。

最初は、マルウェアは主に一般に知られているMicrosoftのエクスプロイト（CVE-2020-0674、CVE-2019-1458、CVE-2018-8120、CVE-2015-1701）やフィッシングメールに依存していました。しかし、2020年5月にPurple Foxはワームのような能力を獲得し、ユーザーの相互作用や追加のツールなしでインスタンスを感染させることができるようになりました。現在では、SMBブルートフォースを介してWindowsシステム全体に拡散し、数千のデバイスを迅速に感染させることができます。

感染すると、マルウェアはルートキットモジュールを利用して悪意のある活動を隠蔽し、ホストに追加のマルウェアをドロップし、ブルートフォースの試みを続けます。Guardicore Labs のレポート によれば、Purple Foxのオペレーターは2021年3月までに90,000以上の攻撃を成功させました。

新しい攻撃のキルチェーン

感染チェーンは従来、フィッシングメールで始まり、Windows Updateパッケージに偽装された新しいワームのようなPurple Foxのストレインを配信します。ユーザーが添付された実行可能ファイルを誤って起動すると、専用のMSIインストーラーが侵害されたWindowsサーバーから3つのペイロードをダウンロードして回避、ポートスキャン、永続化機能を実行します。コードが侵害されたホストで実行されると、マルウェアはポート445、139、135をブロックし再感染を防ぎ、IPレンジを生成し、ポート445のスキャンを開始して、インターネットに露出したSMBサービスを持つ脆弱なデバイスを特定します。検出されると、Purple Foxは新しいデバイスを感染させ、さらに拡散するためにSMBブルートフォース攻撃を行います。

特にセキュリティ研究者たちは、Purple Foxにより約3,000のMicrosoftサーバーが侵害され、ドロッパーと悪意のある実行ファイルがホストされていることを確認しました。ほとんどのサーバーは、報告によれば複数のセキュリティの欠陥を持つ古いIISバージョン7.5およびMicrosoft FTPを実行しています。

Purple Fox検出

Purple Foxマルウェアの新バージョンに対抗するために、弊社の熱心なThreat Bounty開発者 Osman Demir: 

が開発したコミュニティSigmaルールをダウンロードすることができます。

このルールは、以下のプラットフォームへの翻訳を持っています。

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

戦術: 永続性, 特権の昇格

技術: 新しいサービス（T1050）

Threat Detection Marketplaceを購読する、サイバー防御能力を強化できる世界有数のDetection as Codeプラットフォームです。弊社のSOCコンテンツライブラリには、100K以上の検出および応答ルール、パーサー、検索クエリ、その他のコンテンツがCVEおよびMITRE ATT&CK®フレームワークにマッピングされており、増加するサイバー攻撃に耐えることができます。 最新のサイバーセキュリティのトレンドを把握し、脅威ハンティング活動に参加したいと思いませんか？ Threat Bounty Programに参加しましょう！

プラットフォームに進む Threat Bountyに参加する