今週のルール: VHD ランサムウェア検出

私たちは、本日、独自のSigmaルールの週間タイトルを、 Osman Demir が開発した、VHDランサムウェアの検出を可能にするために、授与にふさわしいと信じています。 https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

このランサムウェアのストレインを使用した最初の攻撃は2020年3月に始まり、つい最近研究者たちは それらをLazarus APTに 結び付けました。これには、MATAクロスプラットフォームフレームワークの使用が一部の攻撃で検出されたことが役立ちました。このフレームワークは、この悪名高い北朝鮮の脅威アクターによってのみ使用されています。このフレームワークを検出するためのルールは、 今週初めに.

公開されました。ある攻撃では、攻撃者はランサムウェアをネットワーク内に拡散するユーティリティを使用しました。このユーティリティは詳細な偵察と管理者資格情報およびIPアドレスの収集後に作成され、それらは発見されたすべてのマシンでSMBサービスをブルートフォースするために活用されます。

Lazarusグループは、おそらく金銭目的のサイバー犯罪に関わる唯一の国家支援の脅威アクターです。最近の攻撃では、グループは脆弱なVPNゲートウェイを悪用し、管理者の権限を取得し、侵害されたシステムにバックドアを展開し、Active Directoryサーバーの制御を得ることができました。興味深いことに、VHDランサムウェア攻撃の開始前に、Lazarus APTは TrickBotマルウェア を使用して被害者のネットワークにアクセスしていたのが観察されました。

このルールは、以下のプラットフォームに対する翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: インパクト

技法: 影響へのデータの暗号化 (T1486)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または サレットバウンティプログラムに参加して 、独自のコンテンツを作成し、TDMコミュニティと共有しましょう。