SnipBot検出: 新しいRomComマルウェア変種がカスタムコード難読化法と高度な回避技術を利用

新しいバージョンの RomCom マルウェアファミリーがサイバー脅威の舞台に現れました。この新しいマルウェアはSnipBotと名付けられ、巧妙な逆解析回避技術とカスタムコード難読化方法を使用して被害者のネットワーク内で横方向に移動し、データ抽出を行います。

SnipBotマルウェアを検出

悪名高いRomComマルウェアが新しいSnipBotバリアントを伴って再浮上し、Tropical Scorpius（別名UNC2596/UAC-0132）によってキューバランサムウェア配布を目的に積極的に使用されています。このグループはまた、ウクライナ政府関係者を標的にした攻撃で古いRomComバージョンを悪用しています。

強化されたSnipBotバックドアを利用した攻撃の先を行くために、セキュリティ専門家は SOC Primeプラットフォーム を共同サイバー防御に利用することができます。Sigmaルールの専用コレクションにアクセスし、進化した脅威検出、自動化脅威ハンティング、AI駆動の検出エンジニアリングのための完全なプロダクトスイートを用意しています。「 検出を探索 」ボタンをクリックして、SnipBot攻撃に対応した検出アルゴリズムのコレクションに直接アクセスしてください。

検出を探索

検出アルゴリズムは MITRE ATT&CK®フレームワーク と整合しており、関連するCTIリンク、緩和策、実行可能バイナリなど、包括的なサイバー脅威コンテキストで強化されています。Sigmaルールと共に、チームは業界の最前線を行くSIEM、EDR、XDRソリューションへのルール翻訳も即座に利用できます。

さらに、RomComマルウェア攻撃を遡及的に分析しようとするセキュリティプロフェッショナルは、「RomCom」タグでThreat Detection Marketplaceを検索することにより、より関連性の高い検出を得ることができます。

SnipBotマルウェア分析

2022年春遅く、 キューバランサムウェアの運用者 が再登場し、RomComと呼ばれる新しいカスタムRATを展開してサイバー脅威の分野に果敢に復帰しました。その後、2022年秋半ば、CERT-UAはウクライナ政府関係者を標的とするフィッシングキャンペーンが進行中であることを世界のサイバーセキュリティコミュニティに警告しました。それは RomComマルウェア. 

を活用しています。 Unit42の研究者は最近、SnipBotとして追跡される最新のRomComマルウェアバージョンを発見しました。この新しい悪意のある派生物には、進化した検出回避技術と独自のコード難読化法が搭載されており、RomCom 3.0とその派生製品であるPEAPOD（RomCom 4.0）に見られた手法を基にしています。

2024年4月初旬、防御側はSnipBotのツールセットの一部である異常なDLLモジュールを検出しました。さらに分析を進めると、2023年12月に遡る関連するマルウェア系統が発見され、ネットワーク内部での横移動とファイルの抽出を試みる証拠が示されました。SnipBotは攻撃者に命令を実行し、追加のモジュールを侵害されたシステムにダウンロードさせます。RomCom 3.0とPEAPOD（RomCom 4.0）バージョンの典型的な能力を組み合わせた新しいバリアントの能力に基づき、Unit42の研究者は最新のバージョンをRomCom 5.0として追跡しています。

SnipBotは複数のステージで動作し、最初は実行可能ダウンローダーが、後続のペイロードはEXEまたはDLLファイルです。感染チェーンは、PDFファイルに偽装した実行可能ダウンローダーへのリンクを含むメールで始まります。もし被害者がフォントパッケージをダウンロードしインストールする名目で提供されたリンクをクリックすると、SnipBotダウンローダーが起動されます。

Cortex XDRテレメトリを使用して、Unit42の研究者は攻撃者の感染後の活動を再構築しましたが、主にコマンドライン操作が行われました。SnipBotのメインモジュール「single.dll」を通じて、攻撃者は内部ネットワークの情報、ドメインコントローラーを含む情報をまず収集し、その後、被害者のドキュメント、ダウンロード、OneDriveフォルダからファイルを抽出しようと試みました。

RomComの背後にいる攻撃者は、ITサービス、法律、農業分野の組織を含む多様な被害者を標的にしています。防御側は、SnipBotの運用者が金融利益からサイバー諜報作戦に焦点を移していると考えており、ウクライナとその同盟国が依然として標的となっています。

RomComマルウェアファミリーの継続的な進化とその強化能力、SnipBotの最新バージョンの分析を通じて特定されたこの事実は、組織の防御とデータを増加するサイバー脅威から守るために、常に警戒を怠らず、先進のセキュリティ対策を実施する必要性を強調しています。 SOC PrimeのAttack Detective を頼りにして、SIEMの姿勢を強化し、高精度なアラートを提供する優先度の高いユースケースを得て、貴社のサイバーセキュリティ戦略に完全に整合する脅威ハンティング能力を採用してください。