今週のルール：多段階APT攻撃で配信されるCobalt Strike

今月、研究者たちは 発見しました 未特定のAPTグループによる多段攻撃を発見しました。この攻撃の中で、攻撃者はCobalt StrikeのMalleable C2機能を用いてC＆C通信を行い、最終的なペイロードを配信しました。研究者たちは、攻撃者が高度な回避技術を使用していることを指摘しています。マルウェアを含むWordマクロにおいてペイロードを実行するのを意図的に遅らせる行為が観察されました。また、攻撃者はHTTPレスポンスで返されるjQueryスクリプト内にシェルコードを隠し、セキュリティソリューションによる検出を避けるためにディスクには触れずにメモリ上のバッファにシェルコードを読み込みます。

Cobalt Strikeは、被害者のマシンにシェルコードを読み込むために使用できる有償のペンテスティングツールです。コマンド実行、キーロギング、ファイル転送、SOCKSプロキシ、権限昇格、mimikatz、ポートスキャン、水平移動を含む豊富な機能を備えています。

オスマン・デミルによる新しいコミュニティルールにより、 Osman Demir セキュリティソリューションがこのキャンペーンの痕跡を特定し、組織のネットワーク内でCobalt Strikeを見つけることを可能にします： https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1

このルールは、以下のプラットフォーム向けに翻訳されています：

SIEM： Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR： Carbon Black, Elastic Endpoint

MITRE ATT&CK：

戦術： 初期アクセス

技術：スピアフィッシング添付ファイル (T1193)

Cobalt Strikeのモディフィケーションを検出するためのさらなるコンテンツ： https://tdm.socprime.com/?searchValue=cobalt+strike