潜行するStrela Stealerの検出：中央ヨーロッパと南西ヨーロッパを標的にする強化された機能を持つ情報窃盗マルウェアの再出現

セキュリティ研究者は、中央および南西ヨーロッパのユーザーをターゲットとしたステルスキャンペーンを明らかにしました。それは電子メールの資格情報 盗取プログラムを狙ったものです。この回避型マルウェアは フィッシング メールを通じて展開され、難読化されたJavaScriptとWebDAVを利用して、通常のセキュリティ対策を回避します。2年前に登場して以来、Strela Stealerはその悪意のある機能を大幅に強化し、無防備なユーザーから秘密情報を密かに盗みながらレーダーの下で展開することを可能にしています。

ステルスStrela Stealer攻撃を検出

IBMによれば、2024年においてフィッシングは依然として主要な感染ベクトルであり、初期アクセスポイントとして 40%以上のセキュリティインシデント に用いられています。新たな脅威に対応し、Strela Stealer攻撃のような潜在的な侵入をプロアクティブに防ぐために、セキュリティ専門家は、先進的な脅威検出とハンティングのための完全な製品スイートを提供する共同サイバー防衛のためにSOC Prime Platformに依存することができます。

最新のStrela Stealerキャンペーンに対処するために、SOC Prime Platformは、関連する悪意ある活動を初期段階で特定するためのキュレートされたSigmaルールセットを提供します。以下の 検出を探索 ボタンを押して、SOC Primeチームと経験豊富なThreat Bounty開発者 Davut Selcukによって提供される関連する検出ルールにすぐにアクセスできます。 

検出を探索

すべての検出には、広範な脅威インテリジェンス、攻撃タイムライン、および追加のメタデータが付随しています。さらに、すべてのルールは、30以上のSIEM、EDR、XDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CK®フレームワーク.

にマッピングされています。集団的サイバー防衛に貢献したいですか？セキュリティの専門家を目指す人々は、群衆ソーシングされた Threat Bounty Programに参加することで、検出エンジニアリングおよび脅威ハンティングスキルを磨き、業界の専門知識を豊かにし、自らの貢献に対する報酬を得ることでキャリアを進化させることができます。 

Strela Stealer分析

Cyble Research and Intelligence Labs は、主にドイツとスペインを対象とした隠れたフィッシングキャンペーンを公開し、難読化されたJavaScriptとWebDAVを利用してペイロードを配信し、ユーザーの機密データを盗みます。最終的なペイロードは、難読化されたJavaScriptとPowerShellコマンドを介してセキュリティ対策を回避する、Strela Stealerの新しくより高度なバリエーションです。資格情報の窃取以外にも、Strela Stealerは広範なシステム情報を収集し、攻撃者が偵察を行い、侵害されたシステム上での追加の攻撃活動を開始する可能性を持ちます。

少なくとも2022年後半からサイバー脅威の場で活発であるStrela Stealerは、人気のあるメールクライアントからメールアカウントの資格情報を抽出するように特別に作成されたインフォスティーラーです。最近のキャンペーンでは、攻撃者は、ZIPファイルに難読化されたJavaScriptコードを含むスピアフィッシングメールを利用することで、戦術を進化させました。感染チェーンは、最近の取引の詐欺的な請求書通知と、武装されたJavaScriptファイルを含むZIP添付ファイルによって始まります。後者は難読化技術を活用して実行され、Base64でエンコードされたPowerShellコマンドを実行し、WebDAVサーバーから最終的な悪意のあるDLLを取得します。これは“rundll32.exe”というMicrosoft認証済みのユーティリティを介し、攻撃者によって頻繁に武器化されます。この技術は、悪意のあるDLLファイルがディスクに保存されるのを防ぎ、セキュリティ対策を回避します。インフォスティーラーは、GetKeyboardLayout APIを通じて言語の一致を検出した場合に実行を続け、その結果がドイツとスペインに関連する特定のマルウェアターゲットを示します。

Strela Stealer感染のリスクを最小限に抑えるための潜在的な緩和措置には、WebDAVサーバーへの厳格なアクセス制御の実施や、業務上必要のないエンドポイントでのPowerShellおよび他のスクリプトの実行の制限が含まれます。

脅威の行為者が難解な難読化および検出回避技術に依存する高度な情報窃盗マルウェアのバリエーションを採用するにつれて、防御者はプロアクティブなセキュリティ対策を強化することが不可欠です。SOC Primeの AI駆動型検出エンジニアリング、自動化された脅威ハンティング、先進的な脅威検出のための完全な製品スイート に依存することで、セキュリティチームは、あらゆる技術レベルの攻撃をプロアクティブに阻止し、組織のサイバーセキュリティ姿勢を強化することができます。