ルールダイジェスト: RAT、インフォスティーラー、エモテットマルウェア

今日は土曜日です、つまり次の ルールダイジェストの時間で、今週公開されたマルウェア検出に関する興味深いコンテンツをご紹介します。そしてはい、私たちは参加者が Threat Bounty Program で公開したルールに特に注意を払っています。

最初にご紹介するのは、 Ariel Millahuelによって公開されたルールで、STRRATトロイの木馬を検出するのに役立ちます： https://tdm.socprime.com/tdm/info/TO2qaXt0OvI5/m3zowXIBPeJ4_8xcBtsy/?p=1

STRRATはJavaベースのリモート管理トロイの木馬で、ブラウザやメールクライアントに保存されたログイン情報を盗み、RDPWrapをインストールし、キーストロークを記録し、感染したWindowsオペレーティングシステムをリモートでコントロールできます。このRATは比較的新しいプレーヤーで、研究者はドイツのユーザーを狙った攻撃でそれを発見しました。

次のArielによるルールは、もう一つのリモートアクセス型トロイの木馬であるCybergate RATを発見することができます： https://tdm.socprime.com/tdm/info/nGtxqmlkgv1h/eHzlwXIBPeJ4_8xc9to-/?p=1

CyberGateは、Delphiでコード化された強力で完全に構成可能で安定したRATで、継続的に開発されています。攻撃者はターゲットシステムを完全に制御することができます。機能には、コマンドシェルの対話、スクリーンショットのキャプチャ、音声/ビデオのキャプチャ、キーロギング、ターゲットシステムからのファイルのアップロード/ダウンロードが含まれます。CyberGateにはさまざまなバージョンがあり、それぞれが異なる機能を含むことがあります。ほとんどのバージョンは、パスワードやファイルを盗むために使用され、オーディオを録音し、ウェブカメラを使用して写真を撮り、悪意のあるコードをインストールして実行します。

私たちのダイジェストにおけるもう一つの新しいマルウェアはTroyStealerであり、これの痕跡は現在、 Osman Demir: によって提出された独占的な脅威ハンティングルールを使用することで検出できます：

TroyStealerは、ウェブブラウザに保存されたユーザー名やパスワードなどのログイン情報を盗むために設計されたマルウェアで、それらをメール経由で別のシステムに送信します。また、ユーザーのキーストロークを記録し、機密情報を明らかにする可能性があります。この情報窃取はスパムメールキャンペーンで配布されていることが観測されています。このマルウェアを拡散する詐欺メールはポルトガルのユーザーを標的としています。

私たちのダイジェストでは、長い間世界中で攻撃に成功して使用されてきたマルウェアを検出するためのコンテンツについても取り上げています。新しい Lee Archinal によるルールは、エクセルのスプレッドシートでマクロを使用してAgentTeslaの特徴を検出します： https://tdm.socprime.com/tdm/info/2klZjmsPzzhF/VXz0wXIBPeJ4_8xc2uNg/?p=1

先月、このマルウェアは COVID-19 フィッシング攻撃 で医療品供給業者を対象に使用されました。AgentTeslaは、.Netベースの商業的モジュラー型マルウェアで、攻撃者がさまざまなアプリケーションやWiFi認証情報から機密データを収集するのによく使用されます。詐欺師はこのマルウェアを使ってビジネスメール詐欺攻撃を準備することを好みます。

そして最後に、今日のための最後のルールもLee Archinalによって作成されました。Leeは、Emotetマルウェアを広める最近分析されたルアードキュメントに基づいてこのルールを作成しました。この独占的なSigmaは、Microsoft Wordドキュメントを通じてEmotet感染の特徴を見つけるのに役立ちます： https://tdm.socprime.com/tdm/info/GhSEQiFPVoOx/qVXpwXIBQAH5UgbB8X7z/?p=1

このマルウェアについて話すことにはあまり意味がないかもしれません。Emotetはどの組織にとってもナンバーワンの敵です。なぜなら、危険なサイバー犯罪者が、データの盗難や暗号化に特化したネットワークに侵入するために使われるからです。COVID19パンデミックはEmotetボットネット運営者にとって夏の休暇を諦めさせたようで、研究者たちはこのマルウェアを拡散する新しいキャンペーンを定期的に観察しています。

これらのルールには次のプラットフォームのための翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio,

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 防御回避、実行、持続性、 権限昇格、防御回避

技法: レジストリの変更 (T1112)、ユーザーの実行 (T1204)、コマンドラインインターフェイス (T1059)、スケジュールされたタスク (T1053)、PowerShell (T1086)、スクリプト (T1064)

次のダイジェストを待ち望んでおり、サイバーセキュリティにおける最新ニュースに関するウィークリートークへの登録を忘れないでください： https://my.socprime.com/en/weekly-talks/