ROKRAT検出：マルウェアが大きなLNKファイルに依存する新しい展開方法を採用

敵対者は常にセキュリティ対策を突破する新しい方法を模索しています。昨年、MicrosoftがOfficeドキュメントへのマクロをデフォルトでブロックし始めた後、サイバー犯罪者は防御をかいくぐるために展開方法を適応させました。APT37はこの主要なトレンドに従い、Windowsショートカット（LNK）ファイルを使用してROKRAT（別名DOGCALL）キャンペーンを成功裏に進めています。

ROKRATマルウェア攻撃の検出

セキュリティ実務者は、重要な組織資産を保護し、可能な侵入を迅速に特定するための信頼できる検出コンテンツを必要としています。SOC Primeプラットフォームは、最新のROKRATキャンペーンを検出するための一連のSigmaルールを提供します。

APT37グループによるROKRATマルウェアの不審な実行の関連したコマンドラインの検出（via process_creation）

この検出ルールは Mustafa Gurkan KARAKAYA、経験豊富なThreat Bounty開発者によって作成され、関連するコマンドラインを介して不正なDLLファイルによるROKRATマルウェアの実行を識別します。このルールは23のSIEM、EDR、およびXDRソリューションと互換性があり、 MITRE ATT&CK®フレームワーク にマッピングされており、特に実行の作戦とコマンドおよびスクリプト解釈者（T1059）技術に対応しています。

検出エンジニアリングおよび脅威ハンティングのスキルを有効に活用しながら、より安全な世界の実現をめざしていますか? SOC Primeの Threat Bountyプログラム に参加して、Sigmaルールを最大の脅威検出マーケットプレイスに公開しましょう。私たちのクラウドソーシングイニシアティブのメンバーになることで、将来の履歴書を強化し、業界の専門家とつながりながら、貢献に対する金銭的利益も得ることができます。

下の 検出を探す ボタンをクリックして、ROKRATマルウェアを検出するためのSigmaルールの完全なリストにアクセスしてください。すべてのSigmaルールは関連するサイバー脅威インテリジェンスで強化され、攻撃と敵対者の行動パターンの包括的なコンテキストを提供して、調査を効率化します。

検出を探す

新しいROKRAT感染チェーンの分析

常に変化する攻撃面に対応するために、APT37国家主体は中核的な悪意のあるサンプルROKRATの新しい配布方法を採用しました。

ROKRATバックドアは、資格情報のダンプや情報の盗難、コマンドとシェルコードの実行などによく利用されます。2022年7月以降、セキュリティ専門家は 観察しました 悪意のあるマクロから、ROKRATの多段階感染チェーンを開始するための大きなLNKファイルへのシフトを。特に、同じアプローチがその他のAPT37攻撃で適用され、カスタムGOLDBACKDOORおよびコモディティAmadeyマルウェアの展開に繋がりました。

最新のROKRATキャンペーンは、大部分が韓国の公的機関に焦点を当てていますが、これは APT37にとって伝統的な関心の対象です。このハッキング集団は北朝鮮の国家安全保障省と関連しており、少なくとも2012年から活動しています。2017年からは、韓国に限定されたターゲットを超えて標的を拡大し、世界的に被害者を探しています。影響を受けている部門は製造業、エレクトロニクス、ヘルスケア、自動車産業の垂直領域に限られません。

攻撃面が複雑化する中、組織は新たな脅威を迅速に検出し、可能な侵入からインフラを守る方法を模索しています。SOC Primeは最新のマルウェア脅威に対応した包括的な検出コンテンツを提供し、組織が敵対者を常に一歩先んじることができるようにしています。 https://socprime.com/ にアクセスして、新たな脅威について詳細を学ぶか、または https://my.socprime.com/pricing.