SquirrelWaffleマルウェア検出

玉座は決して空かない！SquirrelWaffleをご紹介。これは悪名高いEmotetに取って代わろうとする新たな悪質ローダーです。2021年秋の初めから、SquirrelWaffleはスパムキャンペーンを通じてホストを大々的に危険に晒し、対戦相手がQakbotやCobalt Strikeなどのサンプルを含む第二段階のペイロードを投入できるようにしています。

アタックキルチェーン

SquirrelWaffle はスパム領域での新人で、2021年9月中旬に初めて発見されました。巧妙に仕掛けられたMicrosoft Officeドキュメントを利用した悪質なスパムの助けを借りてますます推進されています。

によると、 分析 Cisco Talosが行ったSquirrelWaffle攻撃フレームワークの分析によれば、敵対者は電子メールスレッドのハイジャック技術を利用して、スパムを既存の電子メールスレッドへの正当な返信として偽装していました。このような戦術はEmotetの信頼性を高めるアプローチを模倣し、SquirrelWaffleの管理者が Emotet の名声を追い求めていることを証明しています。

特に、偽の通知の大部分は英語で配信されますが、基本的なローカリゼーションが行われています。スパムは元の電子メールスレッドに合うように即座に言語を変更します。現在、研究者はフランス語、オランダ語、ドイツ語、およびポーランド語が、支配的な英語メッセージに加えて使用されていることを検出しました。

スパムには、ハッカーのコントロール下にあるサーバーに位置する悪意のあるZIPアーカイブに被害者をリダイレクトするリンクが含まれています。アーカイブには、開かれた場合に感染したマシンにマルウェアをドロップするWordまたはExcelファイルが含まれています。特に、敵対者はDocuSignサインサービスを利用して被害者を誤誘導し、マクロを有効にするように説得しています。SquirrelWaffleがユーザーのマシンに成功裏に着地すると、 Qakbot マルウェアや CobaltStrike ペンテストツールのような第二段階のマルウェアをドロップします。

痕跡を隠し、検出を回避するために、SquirrelWaffleは主要なセキュリティ企業全体で集中したIPブロックリストを利用しています。さらに、新しいローダーと指令統制（C＆C）インフラストラクチャ間のすべての通信はXORおよびBase64で暗号化され、その後HTTP POSTリクエストで送信されます。最後に、キャンペーンのファイル配信側面が成功するために、脅威の行動者は以前に侵害されたWebサーバーに依存しており、そのほとんどはWordPress 5.8.1を実行しています。

SquirrelWaffleの検出と緩和

SquirrelWaffleがその悪意ある活動を加速し続けているため、世界中のビジネスは新しい脅威に対抗して防御を強化する必要があります。あなたのインフラストラクチャに対する可能性のある攻撃を検出するため、SOC PrimeのDetection as Codeプラットフォームで利用可能なSigmaルールのセットをダウンロードできます。

SquirrelWaffleローダーの活動とCobaltStrike

SquirrelWaffleマルウェアによるCobalt Strikeのドロップ

SquirrelWaffleの行動パターン（コマンドライン経由）

SquirrelWaffle、マルスパムキャンペーンを介して被害者を侵害

SquirrelWaffleローダーとQakbotおよびCobaltStrike

Cobalt Strikeを伴う新しいSquirrelWaffleマルウェア（プロキシ経由）

SquirrelWaffle感染をアドレスする検出内容の完全なリストは ここ. にあります。すべての検出ルールは、MITRE ATT&CK Frameworkにマッピングされ、完全にキュレーションされ、検証されています。

世界初の Detection as Codeプラットフォーム を探求し、協力的なサイバー防御、脅威ハンティング、脅威検出能力を強化し、より簡単に、迅速に、そして効率的に攻撃から守るための発見を行います。自分のSigmaとYARAルールを作成して、より安全な世界を目指したいですか？ 貴重な入力に対する定期的な報酬を得るために、私たちの脅威バウンティプログラムに参加してください！

プラットフォームに移動 脅威バウンティに参加