ルールダイジェスト。APT & マルウェア: 今週公開されたコンテンツ

最新の脅威

5月 02, 2020

6 分で読めます

ルールダイジェスト。APT & マルウェア: 今週公開されたコンテンツ

Eugene Tkachenko
Eugene Tkachenko コミュニティプログラムリード

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

週刊ダイジェストを購読

SOC Prime ユーザー限定

Newsletter Icon

今週、当社チームとSOC Primeの参加者の両方によるマルウェアとAPT活動を検出するためのルールが注目されました。 Threat Bountyプログラム ダイジェストでは、先週の間に公開された興味深いルールにご注目いただくよう努めています。

 

APT StrongPity アリエル・ミラウエルによる

https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1

StrongPity APT(別名:Promethium)は、正当なソフトウェアの毒されたインストーラーを悪用して被害者を感染させ、この専用ルールはそのような行動を暴く手助けをします。APTグループは少なくとも2012年以来サイバースパイ活動を行っており、主にヨーロッパと北アフリカを攻撃してきました。StrongPityスパイ活動APTは追跡が非常に困難で、攻撃では署名されたモジュラーマルウェアを使用し、またゼロデイ脆弱性を利用することでも知られています。

 

ダブル拡張子を持つ可能性のある悪意のあるLNKファイル(cmdlineを介して) SOC Primeチームによるhttps://tdm.socprime.com/tdm/info/lwTxvspCLlJF/Mwm5vHEBAq_xcQY4MuED/?p=1

「ルール・オブ・ザ・ウィーク」の見出しの下で類似のルールに注目してきました。 今週のルールおよび、ダブル拡張子の誤用はWindowsユーザーにとって深刻な脅威であると考えています。これにより、EXEと同じくらい頻繁に悪用されるLNK拡張子の疑わしい使用が明らかになります。LNKファイルはアンチウイルスソリューションにとってあまり疑わしくなく、ユーザーがそれを開くと、リモートでダウンロードされたスクリプトが実行される可能性があり、これが敵対者が被害者を感染させる最も経済的な方法の一つです。

 

疑わしいプロセスアクセス(sysmon経由) SOC Primeチームによるhttps://tdm.socprime.com/tdm/info/S34YfAqmYUYv/oIstvXEB1-hfOQiro-2_/?p=1

このルールは、システムプロセスへの異常な場所からの疑わしいアクセスを追跡し、システム上の悪意のある活動を示す可能性があることを示します。このような活動は調査すべきであり、誤検知を避けるために、すべてのイベントを確認し、ホワイトリストを構築する必要があります。

 

RSATまたは管理者権限なしでADモジュールを使用した可能性のあるActive Directoryの列挙(powershell経由) SOC Primeチームによる https://tdm.socprime.com/tdm/info/dsqELFx5ckXR/OsJb0G0BEiSx7l0HXZMS/?p=1

敵対者はRSATを使用してDLLをシステムから取得し、列挙したいシステムにそれをドロップし、単にモジュールとしてそのDLLをインポートするだけです。このルールを使用すると、タイムリーにこれを検出し、サイバー攻撃の初期段階を明らかにすることができます。

 

Chthonicバンキングトロイの木馬 アリエル・ミラウエルによる

https://tdm.socprime.com/tdm/info/LBnEPGjxVeGO/j-bEwHEBv8lhbg_ijYGH/?p=1

このルールは、Zeusの亜種であるChthonicの新しいインスタンスを検出し、トロイの木馬はZeusVMの進化型と思われますが、いくつかの重要な変更を受けています。ChthonicはAndromedaボットと同じ暗号化プログラム、Zeus AESトロイの木馬とZeus V2トロイの木馬と同様の暗号化スキーム、およびZeusVMやKINSマルウェアで使用される仮想マシンを使用します。

 

このコレクションのルールには、以下のプラットフォームへの翻訳があります:

SIEM:Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、RSA NetWitness

EDR:Windows Defender ATP、Carbon Black、CrowdStrike、Elastic Endpoint

NTA:Corelight

これらのルールは、MITRE ATT&CKの以下の戦術と技術に関連しています:

戦術:初期アクセス、実行、権限昇格、防御回避、探索。

技術:スピアフィッシング添付ファイル(T1193)、レジストリの変更(T1112)、プロセス注入(T1055)、アカウント探索(T1087)、コマンドラインインターフェース(T1059)

また、今週 Threat Detection Marketplaceに主要なアップデートがありました、HumioとCrowdStrikeの2つの新しいプラットフォームのサポートの追加、そしてそれらへの翻訳が含まれています。本日までに、プラットフォーム上で利用可能なルールの数は57,000を超えました!

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。
無料で参加 ミーティングを予約

More 最新の脅威 Articles

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Zahorulko CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に 8 分で読めます 最新の脅威 CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に by Veronika Zahorulko Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン 7 分で読めます 最新の脅威 Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン by Veronika Zahorulko