ルールダイジェスト: APTグループ、マルウェアキャンペーン、Windowsテレメトリー
今週の ルールダイジェスト は通常より多くのコンテンツをカバーしています。これは、国家が後援する攻撃、サイバー犯罪者によるマルウェアキャンペーン、およびWindowsテレメトリの悪用を検出するためのルールをまとめています。
Mustang Pandaは、中国拠点の脅威グループで、新しいツールや戦術を迅速に取り入れる能力を示しています。このAPTグループは主に非政府組織をターゲットとし、アドバサリーはしばしばPoison IvyやPlugXのような共有マルウェアをキャンペーンに使用します。彼らは複数回のリダイレクトや、合法的なツールのファイルレスで悪意のある実装を使ってターゲットシステムにアクセスし、以前観察された正当なドメインを再利用してファイルをホストすることがあります。
によるルール アリエル・ミラーフェル は、PlugXトロイの木馬の配置と正当なバイナリを使用するDLL-Sideload技術の利用に関連する脅威アクターの活動を明らかにします。
新しいMustang Panda活動の可能性(PlugXトロイの木馬経由)
https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1
PlugXトロイの木馬を検出するためのさらに多くのルールが 脅威検出マーケットプレイスにあります。
Lookbackマルウェアは、最初に標的化されたスピアフィッシングキャンペーンに使用されました 米国企業のユーティリティセクターの。露見後、LookBackトロイの木馬の運営者は、キャンペーンを停止せずにフィッシングメールのテキストを変更し、攻撃を続けた。当初、これらの攻撃は中国のサイバースパイユニットにリンクされていましたが、キャンペーンのさらなる観察を通じて、研究者はTTPの類似性が帰属を複雑にするための偽旗として使用される可能性があることを示唆しました。LookBackキャンペーンと同時期に、Proofpointの研究者はFlowCloudと呼ばれる新たなマルウェアファミリーを特定し、それもまた米国のユーティリティプロバイダーに配信されていました。このマルウェアは、攻撃者に感染したマシンの完全な制御を与えます。その機能には、インストールされたアプリケーション、キーボード、マウス、画面、ファイル、サービス、プロセスへのアクセス機能が含まれ、コマンド&コントロール経由で情報を流出させる能力もあります。コミュニティルールによって デン・ユズヴィク はLookBackとFlowCloudマルウェアキャンペーンにおけるTA410グループの特性を検出します。
TA410 LookBackとFlowCloudマルウェアキャンペーン(Sysmonの挙動)
https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1
Charming Kittenは、2014年頃から活動しているイランのサイバースパイユニットで、政府、国防技術、軍事、外交部門に関与する組織を標的にしています。それらのターゲットのほとんどは、イラン、アメリカ合衆国、イスラエル、英国に所在していました。Charming Kittenは通常、プライベートメールやFacebookアカウントへのアクセスを試み、時には二次的な目的として被害者のコンピュータに足場を築きます。攻撃では、APTグループはしばしば次の段階のマルウェアをダウンロードして実行するためのDownPaperバックドアトロイの木馬を用います。今週 リ・アーチナル は、DownPaperバックドアを検出するための一連のルールをリリースしました:
Charming KittenのDownpaperファイル作成(Sysmonの挙動)
https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1
Charming KittenのDownpaperプロセス実行(コマンドライン)(Sysmonの挙動)
https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1
Charming KittenのDownpaperプロセス実行(Powershell)(Sysmonの挙動)
https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1
Charming KittenのDownpaperレジストリの変更(Sysmonの挙動)
https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1
このダイジェストの中では、2008R2/Windows 7から2019/Windows 10までのWindowsマシンに影響を与えるWindowsテレメトリの悪用を検出するルールも紹介します。コミュニティルールはDen Iuzvikによって提出され、持続性のためにCompatTelRunner.exeを悪用することを明らかにするために使用できます。また、システムに侵入した上級の脅威アクターの行動を検出し、システムレベルへの特権昇格を試みているアクターの行動も検出するのに役立ちます。
WindowsテレメトリCompatTelRunner.exeの悪用(Sysmonの挙動) https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1
WindowsテレメトリCompatTelRunner.exeの悪用(監査ルール)
https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1
また、Sreeman Shankerによるコミュニティルールもリリースされます。 スリーマン・シャンカー もこの持続性を達成する方法を明らかにします
Valakは、2019年末に最初に観察された洗練されたマルウェアです。個人や企業を標的にした情報盗みとして独立して使用することができます。最近のバージョンのValakは、Microsoft Exchangeサーバーを狙って企業のメール情報やパスワード、企業証明書を盗むことを目的としています。それはメール返信を乗っ取り、ファイルレススクリプトでデバイスを感染させるための悪意のあるURLや添付ファイルを埋め込むことができます。発見されたキャンペーンは特に米国とドイツの企業を対象としていました。新しいルールは オスマン・デミル によってこの脅威を企業ネットワークで発見することを目的としています。
ValakマルウェアとGozi Loader ConfCrewとの接続
https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1
ルールは以下のプラットフォームに対応する翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 初期アクセス, 防御回避, 実行, 持続, 権利昇格, 指令&制御
技術:スピアフィッシング添付ファイル(T1193)、DLLサイドロード(T1073)、レジストリ実行キー/スタートアップフォルダ(T1060)、スケジュールタスク(T1053)、レジストリの変更(T1112)、コマンドラインインターフェイス(T1059)、PowerShell(T1086)、スクリプト(T1064)、一般に使用されるポート(T1043)、タイムスタンプの変更(T1099)
次のダイジェストは来週公開されます。登録をお忘れなく サイバーセキュリティの最新ニュースを取り上げたウィークリートークス: https://my.socprime.com/en/weekly-talks/
