Raccoon Stealer 検出: RecordBreaker と名付けられた新しいマルウェアバージョン 2.0 がハッカーに高度なパスワード盗難機能を提供

かつてマルウェア・アズ・ア・サービス（MaaS）モデルで配布されていた悪名高いRaccoon Stealerが、より高度な機能を強化した新バージョン2.0としてサイバー脅威のアリーナに戻ってきました。Raccoon Stealerマルウェアは以前、 Dridexトロイの木馬 に置き換えられたと報告されていました。 RIGエクスプロイトキット の一部として継続的に行われたキャンペーンにより、2022年3月には 一時停止 されました。

サイバーセキュリティ研究者は最近、Raccoon Stealer 2.0と類似点を持つ新しいマルウェアファミリーが野生で観察されていることを明らかにしました。この新しいマルウェアはRecordBreakerと名付けられ、情報盗難市場やハッカーフォーラムで現在活動中で、脅威のアクターがアップグレードされたパスワード盗難機能と強化されたマルウェア能力を活用できるようになっています。

Raccoon Stealer 2.0を検出する

増え続ける攻撃量には、サイバー防御者の超応答性と攻撃者よりも速い速度が求められます。SOC Primeのデテクション・アズ・コードプラットフォームは、脅威発見から24時間以内に利用可能な最新の検出コンテンツを提供し、セキュリティ専門家に高度なサイバー防御能力を提供します。RecordBreakerとも呼ばれる新しいRaccoon Stealer 2.0のバージョンに対するプロアクティブな保護のため、専用の Sigmaルール にアクセスしてください。このルールは、我々の多産なThreat Bounty Programの開発者、 Osman Demirによって書かれました。

プロキシ経由でユーザーエージェントを検出することによる記録的なStealerの指令と制御の検出

SOC Primeは、ベテランおよび新進気鋭の個人研究者やThreat Hunterを、群衆からの Threat Bounty Program に参加させ、そのプロフェッショナルなスキルセットを集団でのサイバーセキュリティ専門知識に加えることで、自己成長と貢献の収益化の機会を得ることを奨励しています。

上記のSigmaルールは、SOC Primeのプラットフォームによってサポートされる19のSIEM、EDR、およびXDRソリューションに適用可能であり、 MITRE ATT&CK®フレームワーク に対応する、対応するアプリケーションレイヤプロトコル（T1071）技術による指令と制御の戦術に沿っています。

Raccoon Stealerの検出のための25以上のSIEM、EDR、およびXDRソリューションへの翻訳とともに包括的なSigmaルールのリストを探索するには、以下の 検出とハント ボタンをクリックしてください。専用ルールキットには登録ユーザーのみがアクセス可能です。関連する脅威を簡単に検索し、CTIやMITRE ATT&CK参照などのコンテクストメタデータに瞬時にアクセスする方法を求めていますか？ 脅威コンテキストを探索する ボタンをクリックして、SOC Primeの検索エンジンを使用してRaccoon Stealerマルウェアに関連する検索結果に移動してください。

検出とハント 脅威コンテキストを探索する

Raccoon Stealerのマルウェア分析

2022年6月から、Raccoon Stealerのベータ版はハッカーコミュニティ内でアクティブにテストされており、Raccoon 2.0はすでに少数の脅威アクターに月額275ドルで販売されています。

最新のRaccoon Stealerバージョン、別名RecordBreakerは、C/C++を利用して新たにコーディングされ、新しいバックエンドとユーザーの資格情報や機密データを取得する機能を持っています。

Sekoiaによる詳細な 調査によれば、Raccoon Stealer 2.0は、システムのフィンガープリント、ブラウザデータ、暗号通貨ウォレット、ウェブブラウザ拡張機能、すべてのディスク上の個々のファイルなどを盗むことができる。また、新しいストレインはスクリーンショットを取り、インストールされたアプリリストを取得可能。マルウェアのオペレーターは、盗まれたすべての詳細が暗号化されていると述べていますが、Sekoiaの研究者はこの種類の機能を観察していません。

注目すべきことに、新しいRaccoonバージョンはデータを収集するたびに転送します。これは検出のリスクを大幅に増加させますが、レーダーの下で最大の効果を発揮することを保証します。

より安全な未来を業界のベストプラクティスと共有された専門知識で創り上げるため、無料で SOC Primeのデテクション・アズ・コードプラットフォーム にサインアップしてください。SOC Primeのプラットフォームは、上級イニシアチブに参加し、自分の作成した検出コンテンツを共有し、入力を収益化することで、セキュリティ実務者がサイバー防御オペレーションを強化することを可能にします。 Threat Bounty Program enables security practitioners to boost their cyber defense operations by participating in top-tier initiatives, sharing detection content of their creation, and monetizing their input.