RevC2とVenom Loader検出：MaaSを介した洗練された攻撃で大規模展開された新しいマルウェアの検出

新しい日は、サイバー防御者にとって新たな脅威です。最近、ThreatLabzのセキュリティ研究者は、2024年に既に特定された1億個のマルウェアに加え、2つの新しい悪意あるマルウェアを発見しました。報告によれば、新たに公表されたRevC2およびVenom Loaderは、2024年の夏以来、Venom Spiderのマルウェア・アズ・ア・サービス (MaaS) プラットフォームを利用して展開されています。 

RevC2とVenom Loaderを検出する

に続く SmokeLoader攻撃 で台湾の組織を標的にした後、セキュリティ専門家はRevC2およびVenom Loaderマルウェアを配布する新しく高度なキャンペーンを特定しました。新たに出現する脅威に対抗し、サイバー攻撃を開発の初期段階で特定するために、サイバー防御者は SOC Primeプラットフォームを利用して共同サイバー防御に参加できます。このプラットフォームは、RevC2およびVenom Loaderの検出に特化したSigmaルールスタックを集約し、高度な脅威を検出・追跡するための完全な製品スイートを提供しています。

「 検出を探索する」 ボタンを押して、RevC2およびVenomLoaderに関連する悪意のある活動を特定するための関連する検出セットをすぐに詳しく見ることができます。すべてのルールは、30以上のSIEM、EDR、データレイク技術と互換性があり、MITRE ATT&CK®にマッピングされ、CTIリンク、攻撃タイムライン、三次対応推奨事項などの豊富なメタデータで強化されています。 

検出を探索する」

セキュリティエンジニアも Uncoder AI を活用して、RevC2とVenom Loader攻撃で見られる敵のTTPのIOCパッケージ化と回顧分析を簡略化できます。対応する Zscaler ThreatLabzの研究 からIOCを取得し、さまざまなSIEM、EDR、およびデータレイク言語と互換性のあるクエリに即座に変換します。

RevC2およびVenom Loaderの分析

Zscaler ThreatLabzは最近 RevC2およびVenom Loaderという 2つの新しいマルウェアファミリーを特定し、2024年8月から10月の期間にわたる2つの注目に値する攻撃キャンペーンでVenom Spider MaaS Toolsを通じて配布しました。 

RevC2は、C2サーバーとの通信にWebSocketsを利用します。このマルウェアは、クッキーやパスワードを盗んだり、ネットワークトラフィックをリダイレクトしたり、RCEを容易にしたりすることができます。Venom Spiderの攻撃ツールキットにおける別の発見された悪意のあるサンプルは、Venom Loaderと呼ばれる新しく開発されたマルウェアローダーであり、被害者のコンピュータ名を用いてペイロードをエンコードすることにより、各ターゲットに独自に適合しています。

Venom Spiderは、GOLDEN CHICKENSとも呼ばれる、VenomLNK、TerraLoader、TerraStealer、TerraCryptorなどの MaaS ツールを提供することで悪名高いハッカー集団です。これらの攻撃ツールは、以前にも FIN6 やCobaltのような他の敵対者グループに使用されてきました。

最初の悪意のあるキャンペーンは、APIドキュメントに見せかけてRevC2バックドアを配信します。感染チェーンは、APIドキュメントとして偽装されたPNGファイルをダウンロードするバッチスクリプトを難読化したVenomLNKファイルから始まります。

スクリプトはRevC2マルウェアを実行するためにActiveXコントロールを登録し、最初の引数がdWin.ocxで終了し、実行パスがregsvr32.exeに一致する場合にだけ活性化することを確認し、正当な攻撃チェーン内でのみ発見されるようにします。RevC2は、websocketppライブラリを介したC2通信にWebSocketsを使用します。ThreatLabzの研究者は、RevC2サーバーをエミュレーションするためのPythonスクリプトを提供しており、それは GitHub.

上で利用可能です。Venom Spiderによる別の攻撃キャンペーンは、暗号通貨取引の誘引を使用してVenom Loaderを広め、これはRCEを誘発する可能性のあるJavaScriptベースの軽量バックドアであるMore_eggs liteを展開します。攻撃の流れは、バッチスクリプトを難読化したVenomLNKファイルから始まり、さらなるスクリプトを書き実行します。それらのスクリプトは、バックグラウンドで悪意のあるペイロード（base.zip）を取得しつつ、犠牲者に暗号通貨取引画像を表示します。ペイロードは解凍され、実行可能ファイルが実行され、カスタムDLL（dxgi.dll）をサイドロードしてVenom Loaderを起動します。

その後、Venom LoaderはMore_eggs liteを起動し、Windowsの自動実行レジストリを介して持続性を確立し、HTTP POSTリクエストを使用してC2サーバーと通信します。コマンドはJSONレスポンスとして送信され、デコードされ、侵害されたシステム上で実行されます。

防御者がRevC2およびVenom Loaderを活用する複数のキャンペーンを明らかにしたことで、これらは未だ開発段階にあり、より洗練された機能を持ち、さらなる検出回避技術を適用することが予想されています。組織は、増大する脅威に対抗するためにサイバー警戒を維持することが推奨されています。SOC Primeの AIによる検出工学、自動化された脅威追跡、高度な脅威追跡のための完全な製品スイート は、進化する脅威に対する積極的なサイバー防御を確保するための次世代のオールインワンソリューションとして機能します。現代のスピードの速いサイバー脅威の情勢の中で、一秒一秒が重要です。