Strela Stealer攻撃検出：新たなマルウェア変種が今度はウクライナに加えてスペイン、イタリア、ドイツを標的に

セキュリティ専門家は、新たな Strela Stealer キャンペーンを発見しました。このキャンペーンは、メール認証情報を盗むマルウェアの新しいバージョンを利用しています。更新されたマルウェアは、機能が強化されており、「system info」ユーティリティを通じてシステム構成データを収集することができます。さらに、Strela Stealerはターゲットをスペイン、イタリア、ドイツからウクライナにまで拡大させています。

Strela Stealer攻撃の検出

毎日、約560,000件の新しいマルウェアが検出されています。 Statistaによれば、これは攻撃面が拡大し続けており、サイバーセキュリティ防御者にとって重要な課題となっていることを示しています。サイバー攻撃を拡大し、悪意のある攻撃をタイムリーに検出するために、サイバー防御者は SOC Primeプラットフォーム を利用することができます。これは、高度な脅威検出とハンティングのための完全な製品スイートを提供します。

最新のStrela Stealer攻撃に対処するために、SOC PrimeプラットフォームはCTIで強化された検出を集約したセットを提供します。以下の 検出を探索 して、関連する検出ルールにすぐアクセスし、これを MITRE ATT&CK®フレームワーク にマッピングし、30以上のSIEM、EDR、データレイク技術と互換性があります。

検出を探索

セキュリティエンジニアはまた、 Uncoder AI を利用して、IOCをパックし、敵のTTPを遡って分析できます。対応する SonicWallの研究 からIOCを様々なSIEM、EDR、データレイク言語に対応するクエリに即座に変換します。

Strela Stealer攻撃分析：ウクライナに対する新しいキャンペーン

SonicWall Capture Labsチーム は、2024年を通じて活動していたStrela Stealerマルウェアを追跡していました。2024年11月初旬に、この悪意のある株は フィッシング メールを介して広まる、中央ヨーロッパと南西ヨーロッパのユーザーをターゲットにした隠密なキャンペーンが現れました。これは、従来のセキュリティ防御を回避するために難読化されたJavaScriptとWebDAVを利用し、継続的に進化して、その攻撃能力を洗練し、検出を避けながら機密データを密かに盗み出しています。

最近、顕著な更新を伴う新しいStrela Stealerのバージョンが特定されました。このマルウェアは、スペイン、イタリア、ドイツを超えて、対象をウクライナにまで拡大しています。

感染の流れは、アーカイブされたメール添付ファイルで送信されたJavaScriptから始まります。実行されると、PowerShellスクリプトがトリガーされ、Regsvr32.exeを介して共有ネットワーク上のDLLを実行し、ディスクストレージをバイパスします。この隠された方法により、悪意のあるDLLはネットワークの場所から直接実行されます。

最新のStrela Stealer変種における64ビットDLLは、そのペイロードのローダーとして機能し、エンコードされたコアがデータセクションに保存されています。マルウェアはカスタムXORで武装したファイルを復号します。この改良されたStrela Stealer変種は、ゴミコードや多数のジャンプ命令を備えた高度な難読化能力を持ち、アンチマルウェア解析を妨げます。

DLLはペイロードを復号し、必要なインポートを解決し、ペイロードをエグゼキュートし、RCXはペイロードのエントリを指します。ラッパーDLLとペイロードの両方に類似した難読化方法が含まれており、この新たな変種の最も洗練された更新を示しています。

注入されたペイロードは、64ビットの実行ファイルとして、「GetKeyboardLayoutList」APIを使用してインストールされたキーボードレイアウトをチェックし、該当するものがないと終了します。もともとOutlookとThunderbirdからメール認証情報を盗むことを目的としていましたが、更新されたマルウェアの繰り返しにより、「system info」ユーティリティを使用してシステム構成データも収集されるようになりました。この出力は、テンポラリファイルに保存され、暗号化され、POSTリクエストを介してサーバーに送信されます。盗まれたデータは暗号化後に送信され、マルウェアはサーバーからの「OK」応答を期待しています。

Strela Stealerの脅威の高まりは、高度な難読化技術により、ディスクに痕跡を残さずに動作し、検出をより困難にしており、ヨーロッパ地域を超えたウクライナへの拡大により、サイバー警戒が必要です。 SOC Primeプラットフォーム 集合的なサイバー防御のために、組織に先進的な技術を提供し、サイバー脅威を上回りながら防御を強化し、堅固なサイバーセキュリティの姿勢を構築する。