SmokeLoader マルウェア検出：悪名高いローダーが台湾の企業を再び標的に

悪意のある SmokeLoader マルウェア は、製造業、医療、ITを含む台湾の多くの業界セクターを標的にして、サイバー脅威の舞台に再び姿を現します。通常は他の悪意あるサンプルを展開するためのダウンローダーとして使用されますが、最新の攻撃キャンペーンでは、SmokeLoaderはC2サーバーからプラグインを取得して直接攻撃を実行します。

SmokeLoader マルウェアを検出する

ほぼ 1億の 新たな悪意のあるストレインが2024年にのみ検出され、絶えず成長する脅威の状況を浮き彫りにしています。既存および新たな脅威に対抗するために、セキュリティ専門家は、世界最大の検出アルゴリズムのライブラリを備えた集団的サイバー防御を提供するSOC Primeプラットフォームを利用できます。これにより、高度な脅威検出、自動化された脅威ハンティング、およびAIを活用した検出エンジニアリングが可能です。

台湾の組織を狙った最新のSmokeLoader攻撃に対処する専用のシグマルールスタックにアクセスするには、以下の 検出を探索する ボタンをクリックしてください。すべての検出は MITRE ATT&CK® と整合しており、 CTI およびその他の関連メタデータを含む、効率化された脅威研究のための詳細なサイバー脅威コンテキストを提供します。セキュリティエンジニアは、検出コードを30以上のSIEM、EDR、およびデータレイク形式に変換して、セキュリティニーズに合致させることもできます。

検出を探索する

さらに、サイバー防御者は、“AndeLoader”、 “SmokeLoader”タグでアクセス可能な脅威検出マーケットプレイスにおける関連する検出ルールを探索することで、SmokeLoader攻撃に関連する戦術、技術、および手順（TTP）を深く理解することができます。

セキュリティエンジニアはまた、 Uncoder AI を活用して、SmokeLoader攻撃で見られる敵対者のTTPのIOCパッケージングとレトロスペクティブ分析を効率化できます。該当する 研究 をFortinetの研究から取り入れ、さまざまなSIEM、EDR、およびデータレイク言語と互換性のあるカスタムクエリに即座に変換します。

SmokeLoader攻撃分析

FortiGuard Labsの研究者は最近、 台湾の組織に対する新しい敵対者キャンペーン をSmokeLoaderマルウェアを用いて発見しました。SmokeLoaderは2011年にサイバー脅威の分野に登場し、その適応性と高度な検出回避能力で悪名高いです。このマルウェアは、様々な攻撃を実行することを可能にするモジュラーアーキテクチャでも注目されており、通常は他の悪意あるサンプルのダウンローダーとして機能しますが、最近のSmokeLoaderマルウェア流布の攻撃キャンペーンでは、より積極的な役割を担い、攻撃を自ら開始し、C2サーバーからプラグインを取得します。

この悪名高いローダーは、2023年から2024年にかけてウクライナに対する多くのフィッシングキャンペーンで大いに利用されてきた金銭を目的とした UAC-0006グループに属しています。

台湾に対する最新のキャンペーンの感染経路は、Microsoft Excel 添付ファイルを送信するフィッシングメールから始まります。開くと、添付ファイルはCVE-2017-0199やCVE-2017-11882などMicrosoft Officeの既知の脆弱性を利用して、Ande Loaderと呼ばれるマルウェアローダーをインストールし、その後、このローダーが影響を受けたシステムにSmokeLoaderを展開します。

SmokeLoaderは、ステージャーとメインモジュールの2つの主要なコンポーネントで構成されています。ステージャーの役割は、メインモジュールをexplorer.exeプロセスに復号、解凍し、注入することです。その後、メインモジュールが引き継ぎ、持続性を確保し、C2インフラとの通信を確立し、コマンドを実行します。最近観察されたキャンペーンでは、このマルウェアは、ログイン情報、FTP情報、メールアドレス、クッキー、その他のアプリケーション（ウェブブラウザ、Outlook、Thunderbird、FileZilla、WinSCPなど）からの機密データを抽出することができる様々なプラグインを使用しています。

SmokeLoaderの高次適応性は、知られているマルウェアであっても防御者が警戒を怠らない必要があることを浮き彫りにしています。これらの課題に対処するために、SOC Primeは、 AIを活用した検出エンジニアリング、自動脅威ハンティング、高度な脅威検出のための完全な製品スイート を提供し、セキュリティチームがあらゆる規模と高度なサイバー攻撃を積極的に阻止することに役立ちます。