ルールダイジェスト: トロイの木馬、サイバースパイ、RATicateグループ

[post-views]
5月 23, 2020 · 8 分で読めます
ルールダイジェスト: トロイの木馬、サイバースパイ、RATicateグループ

今週のダイジェストでは、参加者によって独自に開発されたルールが含まれています。 脅威賞金プログラム.

背後にいる脅威アクターは 最近のUrsnif変種 特定のサイバー犯罪操作を行っている可能性があり、これらのキャンペーンの中心には、ダウンローダーおよび偵察ツールとして再利用されたUrsnifトロイの変種があります。このアクターが使用する技術(LOLBins、重度の難読化、COMインターフェイスなど)や、攻撃の後期段階で観察された手法(ポストエクスプロイトフレームワーク[Cobalt Strike]やVNCクライアント[TeamViewer]の使用)など、特定の攻撃に関与していることを示唆しています。この攻撃は、数か月もの間、公衆の関心を引かずに続いています。 Ursnifを基にしたターゲット攻撃キャンペーン LOLSniff Emir Erdoganによるルールは、このトロイの活動を明らかにし、攻撃を初期段階で阻止するのに役立ちます: https://tdm.socprime.com/tdm/info/OWYy5tF4Yis6/PCE5LXIBjwDfaYjKqJBf/?p=1

ESETの研究者 発見しました 以前に報告されていないサイバースパイフレームワークで、彼らはそれをRamsayと名付けました。これは機密文書の収集と流出に合わせて設計されており、エアギャップネットワーク内で動作することができます。研究者はマルウェアの3つの異なるバージョンを追跡し、それぞれのバージョンは異なっており、異なる方法で被害者に感染しましたが、マルウェアの主な役割は、感染したシステムをスキャンし、Word、PDF、ZIPドキュメントを、後で流出する準備が整った隠しストレージフォルダーに収集することでした。他のバージョンには、Ramsayマルウェアのコピーをリムーバブルドライブおよびネットワーク共有上のすべてのPE(ポータブル実行ファイル)に添付するスプレッダーモジュールも含まれていました。これが、ユーザーが感染した実行可能ファイルを会社の異なるネットワーク層間で移動させ、最終的に隔離されたシステムにたどり着く可能性が最も高いため、エアギャップを越えて孤立したネットワークに到達するためにマルウェアが採用しているメカニズムであると考えられています。 Ariel MillahuelがRamsayマルウェアの振る舞いを見つけるためのコミュニティ脅威ハンティングルールを開発しました: https://tdm.socprime.com/tdm/info/WZnAdFuEiaVX/vyE1J3IBjwDfaYjKtYkQ/?p=1

Sakula RAT がAriel Millahuelによってリリースされた2番目のコミュニティ脅威ハンティングルールです。 Sakula RAT(SakurelやVIPERとも呼ばれる)は2012年11月に初めて現れ、相手が対話型のコマンドを実行したり、追加のコンポーネントをダウンロードおよび実行したりすることを可能にします。 Sakulaはコマンド&コントロール(C2)のためにHTTP GETおよびPOST通信を使用します。ネットワーク通信は1バイトのXORエンコードで難読化されています。 Sakulaはまた、1バイトのXORエンコードを利用して、リソースセクションに埋め込まれた様々な文字列やファイルを難読化し、それらはその後32ビットおよび64ビットシステムのユーザーアカウント制御(UAC)バイパスに使用されます。ほとんどのサンプルはレジストリのRunキーを通じて持続性を維持しますが、いくつかのサンプルはサービスとして自身を構成します。ルールへのリンク: https://tdm.socprime.com/tdm/info/dZ0LlEq1KcRv/1-aMMXIBv8lhbg_iM9Qo/?p=1

今日のダイジェストのArielによる最後のルールはRATicateグループの挙動です。Sophosのセキュリティ研究者は 特定しました 産業企業をターゲットにした攻撃で、NSISインストーラーを悪用してリモートアクセス型トロイや情報盗難マルウェアを配布していたハッキンググループを特定しました。彼らはRATicateの攻撃がヨーロッパ、中東、韓国の産業企業を対象にした5つの異なるキャンペーンの一部であり、研究者は過去に他の類似のキャンペーンにもRATicateが関与しているのではないかと疑っています。これらのキャンペーンは、製造を専門とする企業から投資会社やインターネット企業まで、さまざまな種類の産業セクターのエンティティを標的にしています。ここであなたのセキュリティソリューションのためにルールをダウンロードできます RATicateグループの挙動https://tdm.socprime.com/tdm/info/ctvl1GjnfAFH/FyHCNnIBjwDfaYjKe5fQ/?p=1

Sreemanによる最近発見されたDanabotサンプルを検出するためのコミュニティルールでダイジェストを締めくくります。Danabotは2018年5月に初めて検出され、 強力なバンキングトロイです 過去に北米、オーストラリア、ヨーロッパの金融サービス機関を強く狙ってきました。このマルウェアは最初に検出されて以来、そのモジュール性と配布方法のために急速に成長しました。Zeusバンキングトロイと同様に、DanaBotは大幅に戦術や優先順位を変更できるプラグアンドプレイモジュールで知られています。DanaBotはモジュールや改良が豊富で、ファジリティを持つ攻撃者に強力なツールを提供します。このマルウェアがバンキングトロイのシーンに出現して以来、どこへ行ってもかなりのダメージを与えてきました。ここでルールを確認してください: https://tdm.socprime.com/tdm/info/8MnRbno0JNH8/MowrGHIB1-hfOQirhDbo/



このコレクションのルールは次のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 回避, 実行, 持続, 権限昇格, 発見

技術: Regsvr32 (T1117), Rundll32 (T1085), ソフトウェアパッキング (T1027.002), スクリプト (T1064), コマンドラインインターフェース (T1059), レジストリ起動キー/スタートアップフォルダー (T1060), プロセス注入 (1055), ルート証明書のインストール (T1130), レジストリの変更 (T1112), レジストリの問合せ (T1012)

私たちの最後のダイジェストへのリンク: https://socprime.com/en/blog/rule-digest-rce-cve-oilrig-and-more/

一週間後にお会いしましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
EvilnumグループによるPyVil RAT
ブログ, 最新の脅威 — 3 分で読めます
EvilnumグループによるPyVil RAT
Eugene Tkachenko
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko