SYK Crypter 検出: Discord 経由で一連の RAT を拡散する .NET マルウェア

Discordは2021年時点で1億5000万人が利用しており、オンラインユーザーコミュニティ間で極めて人気を集めているため、ハッカーはこのチャット、VoIP、およびデジタル配信プラットフォームに目を向けています。攻撃の潜在的な表面は広くかつ有望であり、脅威アクターはDiscordを悪用してマルウェア配信やその他の悪意のある行動を行うことができます。

最近、セキュリティ研究者は、話題のDiscord攻撃キルチェーンを悪用する新たなマルウェアを発見しました。特に、ハッカーはDiscord CND（コンテンツ配信ネットワーク）を悪用して、新しいSYKクリーンターを使用してリモートアクセス型トロイの木馬の大量配信を行っています。

SYKクライプターを検知

非常に回避能力の高いSYKクライプターマルウェアに関連する悪意ある活動を、当社の著名な脅威バウンティ著者が提供する専用のSigmaルールを利用して検知します Osman Demir 。以下のリンクで翻訳されたSigmaルールにアクセスしてください: 23 SIEM、EDR & XDRフォーマット

PowerShellを用いた疑わしいSykクライプターの実行（cmdline経由）

新たな脅威に対応したより精選された検出コンテンツにアクセスし、MITRE ATT&CKリファレンス、CTIリンク、その他価値のあるメタデータで強化された完全なコンテキストを得るには、SOC PrimeのDetection as Codeプラットフォームが提供するThreat Detection Marketplaceリポジトリを探索してください。

脅威ハンティングと検出エンジニアリングの確立されたプロフェッショナルですか？脅威バウンティプログラムに参加して高度なサイバーセキュリティスキルを活用しましょう。Sigma、Yara、またはSnortルールを提出し、当社プラットフォームに公開して繰り返し報酬を受け取り、協力的なサイバー防御に貢献してください。

検出を表示 脅威バウンティに参加

SYKクライプター攻撃チェーン

による調査によると Morphisec 、SYKクライプターのオペレーターはマルウェア配信のために人気のDiscord攻撃チェーンを活用する機会を逃しませんでした。2022年5月、セキュリティ専門家は、Discord CNDを利用した複数のSYKクライプター感染を報告しました。

特に、攻撃は悪意あるファイルが添付されたフィッシングメールから始まります。このファイルは正規の注文書に偽装されていますが、開かれると感染チェーンがトリガーされます。最初の段階では、DNetLoaderが被害者のマシンにアクセスし、ハードコーディングされたDiscord CNDエンドポイントに接続して暗号化されたファイルをダウンロードします。さらに、SYKクライプターが動作し、PEリソースとして保存された最終ペイロードを復号します。さらに調査すると、SYKは複数のリモートアクセス型トロイの木馬やスティーラーを拡散していることが明らかになります。 WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer、など。

SYKクライプター分析

Morphisecの専門家によると、SYKクライプターは、サイバー防御者を欺き、シグネチャおよび動作ベースのセキュリティ制御を回避する多様な回避技術を活用する革新的な脅威です。具体的には、SYKはAVソリューションを検知して克服し、デバッグ環境をチェックし、スタートアップフォルダを通じて持続性を獲得し、プロセスホローイング技術を使用してペイロードを実行することが可能です。

最新の脅威に対する防御を調整し続ける努力は困難なことが多いです。 SOC PrimeのDetection as Codeプラットフォーム を通じて協力的なサイバー防衛を進めることで、あなたの脅威検出能力と脅威ハンティング速度を大幅に向上させ、敵よりも速く、知恵で上回ることができます。