RedLine スティーラー マルウェア検出

[post-views]
2月 17, 2022 · 6 分で読めます
RedLine スティーラー マルウェア検出

敵対者は常に悪意のある操作の成功を最大化するための新しいトリックを探します。今回は、サイバー犯罪者が Windows 11 の一般展開段階に関する最近の発表を利用して、マルウェアが仕込まれたアップグレードインストーラーでユーザーを標的にしています。ダウンロードして実行されると、何の疑いもない犠牲者がシステムに感染します。 RedLine 情報スティーラー

RedLine スティーラーとは何ですか?

2020年に初めて公開された RedLine スティーラーは、Malware-as-a-Service(MaaS)脅威として地下フォーラムでますます広く広告されており、月額150〜200ドルのサブスクリプションまたはスタンドアロンのサンプルとして利用可能です。

RedLine は、感染したホストから Windows の認証情報、ブラウザ情報、暗号通貨ウォレット、FTP 接続、銀行データ、その他の機密情報を収集できる最も広く配布されている情報スティーラーの1つです。データダンプ機能に加えて、最近のアップグレードにより、オペレーターが二次悪意のあるペイロードを読み込んだり、攻撃者のコマンドアンドコントロール(C&C)サーバーから受信したコマンドを実行したりできる追加機能が追加されています。

RedLine スティーラーの分析によれば、このマルウェアはそれほど高度ではないが、MaaS モデルを採用して大規模に配布することで、悪意のある舞台における注目すべきプレイヤーとなっています。

最新の RedLine キャンペーン

According to the HP の調査によれば、RedLine の管理者は、Windows 11 のアップグレードを約束する詐欺を通じて Windows 10 ユーザーを誘導することをますます頼りにしています。特に、攻撃者は一見合法的な「windows-upgraded.com」ドメインを利用して悪意のあるインストーラーを配布します。ユーザーが「今すぐダウンロード」ボタンをクリックするように騙されると、「Windows11InstallationAssistant.zip」と名付けられた MB ZIP アーカイブが RedLine 実行可能ファイルを含むシステムに降りてきます。解凍して起動した後、被害者のデバイスに悪意のある DLL がロードされ、RedLine スティーラーのペイロードであることが判明しました。

調査中に HP が特定した配布ウェブサイトはすでに削除されていますが、ハッカーは新しいドメインを設定して悪意のあるキャンペーンを続行するのに苦労していません。

セキュリティ研究者らは、RedLine の管理者が、多くの Windows 10 ユーザーが公式の配布チャネルからハードウェアの非互換性のために Windows 11 にアップグレードできないことをうまく利用したことに注目しています。専門家は、他のマルウェアファミリーも同様の手法を取る可能性があると考えているため、ユーザーは警戒する必要があります。

RedLine スティーラーの検出

RedLine スティーラーマルウェアに関連する悪意のある活動を検知し、システムの資産を保護するには、興味を持った脅威賠償開発者である Osman Demir

によって提供された専用の Sigma ルールをダウンロードします

この検出は、Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender for Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Microsoft PowerShell, 及び AWS OpenSearch プラットフォーム向けに翻訳されています。

このルールは、最新の MITRE ATT&CK® フレームワーク v.10 と一致しており、コマンドおよびスクリプトインタプリタ(T1059)を主な技術として実行戦術に対応しています。

SOC Prime プラットフォームの Threat Detection Marketplace リポジトリには、RedLine 検出の完全なリストがあります こちら.

SOC Prime の Detection as Code プラットフォームに無料でサインアップして、最新の脅威をセキュリティ環境内で検出し、ログソースや MITRE ATT&CK カバレッジを向上させ、攻撃に対してより簡単に、より迅速に、より効率的に防御します。サイバーセキュリティに熟練した方は、Sigma ルールをコミュニティと共有し、定期的に報酬を得られる Threat Bounty プログラムに参加することを歓迎します。脅威ハンティングのスキルを磨きたいですか?初心者向けのガイドに飛び込んで学びましょう。 Sigma ルールとは何かも参照できます。また、ガイドを参照して学ぶことができます MITRE ATT&CK® とは何か およびそれをどのように自己向上に利用するか。

プラットフォームに行く Threat Bounty に参加

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事