PXA Stealer 検出:ベトナムのハッカーがヨーロッパとアジアの公共および教育セクターを狙う

[post-views]
11月 18, 2024 · 8 分で読めます
PXA Stealer 検出:ベトナムのハッカーがヨーロッパとアジアの公共および教育セクターを狙う

高度な回避技術を駆使する最近のサイバー攻撃の波に続いて、 Strela Stealer 中央および南西ヨーロッパで infostealer が新たに注目を浴びており、ヨーロッパおよびアジア全域の政府や教育部門の機密データを狙っています。ベトナム語を話す攻撃者が新しいPythonベースのマルウェア「PXA Stealer」を利用した情報窃取キャンペーンが進行中であることが守備側によって観察されています。

PXA Stealer 検出

によれば、 2025年のGoogle Cloudセキュリティ予測、情報窃取マルウェアの洗練度と効果の高まりが懸念されており、来年にはこれがさらに成長すると予測されています。新しい情報窃取プログラム「PXA Stealer」を使用する進行中のキャンペーンは、マルウェアの高度な機能とヨーロッパおよびアジアにまたがる広範な攻撃範囲のため、守備側の迅速な対応を必要とします。SOC Primeプラットフォームは、PXA Stealerを利用したサイバー攻撃を防ぐための検出アルゴリズムを提供しています。

すべての検出が MITRE ATT&CK®にマッピングされ、関連するサイバー脅威のコンテキスト、カスタマイズされた CTI 実行可能なメタデータで豊富に拡充され、30以上のSIEM、EDR、データレイクソリューションに適用してクロスプラットフォームの脅威検出が可能です。「 Explore Detections 」をクリックすると、PXA Stealer検出のためのベンダーに依存しないSigmaルールにアクセスできます。

Explore Detections

PXA Stealer 分析

Cisco Talos研究者 は、ベトナム語を話すハッカーによって主導される新しい情報窃取キャンペーンを特定しました。このキャンペーンはスウェーデンやデンマークを含むヨーロッパおよびアジアの国家機関や教育組織を狙っています。攻撃者は、「PXA Stealer」と呼ばれる新たに発見されたPythonベースのマルウェアを利用し、オンラインアカウント、VPNおよびFTPクライアントの資格情報、財務情報、ブラウザのクッキー、ゲームアプリケーションからの情報など機密データを抽出しようとします。注目すべきは、PXA Stealerの能力は、被害者のブラウザのマスターパスワードを解読して、さまざまなオンラインアカウントの保存された資格情報を抽出することです。

不正スクリプトとPXA StealerをホストするドメインはベトナムのSEOサービスプロバイダーに属していますが、攻撃者がこれを侵害したのか意図的に使用したのかはまだ不明です。しかし、ベトナム国内の関連性は、スティーラーに含まれるベトナム語のコメントやベトナム国旗のアイコンとベトナム公安省の紋章の画像を備えた「Lone None」と呼ばれるハードコーディングされたTelegramアカウントによって明らかになっています。

調査によれば、攻撃者はデータの抽出にTelegramボットを利用し、ペイロードにTelegramボットトークンとチャットIDを含んでいました。さらに、研究者は攻撃者がFacebookやZaloアカウント、SIMカード、資格情報、マネーロンダリングデータを取引する地下Telegramチャンネル「Mua Bán Scan MINI」での活動を発見しました。さらに、攻撃者は「Cú Black Ads – Dropship」という地下Telegramチャンネルとも関連しており、ユーザーアカウント管理ツール、プロキシサービス、バッチアカウント作成用のツールを宣伝しています。彼らはCoralRaiderと同じTelegramグループに現れますが、このギャングとの関係は不確かです。

特に、ハッカーはグループ内でHotmailバッチクリエーター、メールマイナー、クッキー変更ツールなどの複数アカウント管理用の自動ツールを共有しています。これらのツールはカスタマイズのためのソースコードと共にバンドルされ、aehack[.]comのようなサイトで販売されており、使用チュートリアルを含むYouTubeチャンネルを通じて宣伝されています。これにより、組織的に市場に出し、ユーザーに指導する試みが示されています。

感染フローは、ZIP添付ファイルを含むフィッシングメールから始まり、隠しフォルダーと悪意のあるRustローダー実行ファイルが被害者のマシンにドロップされます。これを解凍すると、Rustローダーの実行がトリガーされ、バッチスクリプトが実行され、引き金ドキュメントであるGlassdoorの求職申込書を開く一方で、PowerShellコマンドを実行してホスト上で動作中のウイルス対策プログラムを無効化するペイロードをダウンロードし実行し、スティーラーそのものを展開します。

PXA Stealerはブラウザのマスターキーを解読して、Google ChromeおよびChromiumベースのブラウザでのパスワードやクッキーなどの機密データを保護します。これにより、攻撃者は保存された資格情報やその他のブラウザ情報にアクセスできます。さらに、Mozilla Firefoxなどのブラウザからuser profile pathsをprofiles.iniファイル経由で抽出し、保存されたパスワードやその他のデータを取得します。また、stealerは「webappsstore.sqlite」データベースからクレジットカード情報をターゲットにします。

PXA Stealerの重要な機能は、Facebookクッキーを盗み、それらをセッション認証に使用し、Facebook Ads ManagerやGraph APIへアクセスし、さらにアカウントや広告関連の情報を収集することです。キャンペーンはまた、バッチスクリプト内の高度なオブスクリーション技術によって、感染の存在検出をより困難にすることで注目されています。

様々なビジネス業種や異なる地理的地域の組織を対象にした情報窃取キャンペーンの数が増加する中、データ盗難のリスクを最小化するための先制防御を強化することが重要です。SOC Primeの AI駆動の検出エンジニアリング、自动化された脅威ハンティング、および高度な脅威検出用の完全な製品スイート は、セキュリティチームを新たに出現する脅威に対抗させ、攻撃の最も早期の段階でマルウェアの存在を特定し、組織のサイバー回復力を向上させることができます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事