SmokeLoader検出：ソフトウェアクラックを通じてAmadeyボットマルウェアを分配

2018年にサイバー脅威の舞台に登場した悪名高いマルウェアの亜種、Amadey Botは、データを盗み、侵害されたシステムに他の悪意のあるペイロードを展開することができます。攻撃的な操作に従事するために、ハッカーフォーラムを介して積極的に配布されています。サイバーセキュリティ研究者は最近、Amadey Botマルウェアの新バージョンが SmokeLoader ソフトウェアクラックやキー生成ユーティリティを誘引に利用する悪意あるキャンペーンを通じて配布されるのを観測しました。

最近のキャンペーンでのSmokeLoaderによるAmadeyBotのデプロイを検知

攻撃のボリュームが増加し脅威ベクトルが急速に進化する中で、サイバーセキュリティの実務者たちは組織の防御を事前に強化する新しい方法を模索しています。SOC PrimeのDetection as Codeプラットフォームは、 Sigmaルール を提供し、Smoke Loaderを通じて最新の敵キャンペーンでインストールされた新しいバージョンのAmadey Botに効果的に対抗できるよう、グローバルな組織を支援します。

すべての専用Sigmaルールは業界をリードするSIEM、EDR、XDRソリューションに変換可能で、 MITRE ATT&CK®フレームワーク と連携して関連する脅威に対する包括的な可視性を確保します。以下のリンクをたどって、私たちの豊富なコンテンツ寄稿者とThreat Bounty Programの積極的な参加者によって作成されたキュレートされた検出を入手してください。 Aykut Gurses, Nattatorn Chuensangarun、 Aytek Aytemur:

SmokeLoaderマルウェアの疑わしい持続性活動（cmdline経由）

Aykut Gursesによって開発されたこの脅威ハンティングクエリは、ソフトウェアクラックやキー生成ウェブサイトを介して押し出されたSmokoLoaderとAmadey Botマルウェアのユーザー実行に起因する持続的攻撃を検出します。この検出ルールは、防御回避と実行のATT&CK戦術およびそれに対応する技術、特にレジストリの変更 (T1112)、スケジュールされたタスク/ジョブ (T1053)、ユーザー実行 (T1204) に対応しています。

Amadey Bot配信を介したレジストリ修正による可能性のあるSmokeLoader持続性（process_creation経由）

Nattatorn Chuensangarunによって作成された上記の脅威ハンティングクエリは、レジストリキーの修正を通じてTempパスにコピーされることでSmokeLoaderの持続性の悪意のある活動を検出します。このSigmaルールは、防御回避の敵戦術に対応し、主要な技術としてレジストリの変更 (T1112) を使用します。

SmokeLoader経由で配布されたAmadey Botの新バージョン（process_creation経由）

Aytek AytemurによるこのSigmaルールは、SmokeLoaderによってインストールされたAmadey Botマルウェアによって実行される疑わしい schtasks.exe 活動を検出します。検出は、Execution戦術レパートリーのScheduled Task/Job (T1053) ATT&CK技術に対応しています。

業界の専門家や意欲的な検出コンテンツの寄稿者は、 Threat Bounty Program に参加し、Detection EngineeringとThreat Huntingのスキルを磨くことができます。このプログラムは、SOC Primeのクラウドソーシングイニシアティブに支えられています。検出コンテンツを作成し、業界仲間と共有し、貢献に対して金銭的報酬を得ることにより自己向上の輝かしい機会を得ることができます。

SmokeLoaderマルウェア検出のためのSigmaルールの全リストにアクセスするには、以下の Detect & Hunt ボタンをクリックしてください。また、未登録のSOC Primeユーザーは、最新のSmokeLoaderキャンペーン関連の包括的な脅威コンテキストを瞬時に確認できます。Amadey BotをダウンロードするためにSOC Primeのサイバー脅威検索エンジンを使用してください。 Explore Threat Context ボタンをクリックし、MITRE ATT&CKやCTIリファレンス、メディアリンク、最新のSigmaルールなどのより深いコンテキストメタデータにアクセスしてください。

Detect & Hunt Explore Threat Context

2018年に登場して以来、Amadey Botは敵対者によって頻繁に使用され、偵察活動を進めたり、感染したホストから機密データを盗み取ったり、追加の悪意あるペイロードを配信したりしました。マルウェアの配布は2020-2021年を通じて減少しましたが、Amadey Botは2022年に強化された機能で再浮上し、FalloutやRigエクスプロイトキットからSmokeLoaderに主要な配信方法を切り替えました。

による調査によれば、 AhnLab 、SmokeLoaderは通常、予期しない被害者によってソフトウェアクラックやキージェンの一部として起動されます。このため、ユーザーはソフトウェアクラックのインストール中に保護を無効にする傾向があるため、マルウェアはアンチウイルスアラートを簡単に克服します。さらに、SmokeLoaderは悪意のあるペイロードを explorer.exe プロセスに注入し、侵害されたシステムにAmadeyをドロップします。

特に、Amadey Botの最新バージョン3.21は、約14のアンチウイルス製品を特定して検出を回避し、ホスト上での持続性を確保することができます。システム情報を収集した後、Amadeyは追加のマルウェア、例えばRedLineなどのさまざまな情報窃取ツールをドロップします。悪意のあるペイロードは、UACのバイパスと特権昇格を使用して取得および実行されます。さらに、Windows Defenderを除外し、隠密なインストールを確実にするためにPowerShellが使用されます。

Amadey BotとSmokeLoaderの感染を防ぐために、ユーザーはソフトウェアクラックや不正なキー生成ツールを使用しないよう促されています。さらに、セキュリティ実務者は、 SOC PrimeのDetection as Codeプラットフォームに登録することで、脅威検出能力と脅威ハンティングの速度を向上させることができます。このプラットフォームは、既存および新興の脅威に対する200,000以上の検出アルゴリズムを24時間以内に提供し、攻撃者に先んじることを可能にします。経験豊富な脅威ハンターやセキュリティアナリストは、 Threat Bounty Program to submit their Sigma rules and get recurrent payouts while contributing to collaborative cyber defense.