SystemBCマルウェアの新しいバージョンが、標的環境に侵入するためにランサムウェア保守者によってますます利用されています。セキュリティ専門家は、DarkSide、Ryuk、Cubaを含む主要なランサムウェア・アズ・ア・サービス(RaaS)集団が、攻撃対象のインスタンスにアクセスし続け、さまざまな悪名高い活動を行うことができるSystemBCを永続的なバックドアとして利用していると指摘しています。
SystemBCとは何ですか?
SystemBCは、プロキシ機能とリモートアクセス型トロイの木馬(RAT)機能を組み合わせた多機能脅威です。2019年に初めて発見されたこのマルウェアは、主にSOCKS5プロトコルを活用したネットワークプロキシとして隠れた通信に使用されていました。しかし、脅威は進化し、現在ではRATとしても機能することができます。特にSystemBCは、Windowsコマンドの実行、悪意のあるスクリプトの配信、DLLの実行、さらに二次実行可能ファイルの実行が可能です。
特に、SystemBCの最新サンプルは、SOCKS5プロキシを廃止し、Tor匿名化ネットワークを使用して暗号化と C&C(コマンドアンドコントロール)トラフィックの隠蔽を行っています。また、2021年5月には、セキュリティ研究者が 新しい “ラッパー” を発見し、 プロセスハロウィング技術を利用して対象デバイスにSystemBCをデプロイすることを明らかにしました。
感染後、マルウェアはCobalt Strikeと連携して横方向の動きを行い、パスワード盗みと探索作業を実行します。また、ハッカーは永続化を達成し、Powershell、.BAT、.CMDスクリプトをドロップしてさらに攻撃を展開し、ランサムウェアを配信するためにSystemBCを頻繁に使用します。
ランサムウェアバックドア
SystemBCは複数のランサムウェア攻撃にデプロイされています。Ryuk ギャングは、BuerローダーやBazarバックドアとともにフィッシング攻撃にこの脅威を活用しました。また、Egregorキャンペーンも SystemBCに依存して永続化を達成し、ランサムウェア感染を進めました。悪名高いDarkSideギャングは、2021年5月の Colonial Pipelineのシャットダウンの背後に立ち、 SystemBCを感染に使用しました。最後に、Cubaランサムウェアの管理者は、この悪意のあるサンプルを悪質な活動の際に使用しました。 セキュリティ専門家は、SystemBCがC&CサーバーとTorネットワークを介して密かに接続し、対抗者にコマンドとスクリプトを実行するための追加ツールを提供する能力があるため、ランサムウェア運営者間で非常に人気があると要約しています。この悪意のあるサンプルは、ハッカーに侵入部分を自動化し、成功した侵入の数を最大化するのを支援します。 in May 2021, also relied on SystemBC for infections. Finally, Cuba ransomware maintainers applied this malicious sample in course of their malicious activity.
SystemBC検出
SystemBC感染を検出し、可能なランサムウェア攻撃からインフラを保護するために、Threat Detection MarketplaceでEmir Erdogan、熱心なThreat Bounty開発者によって公開されたコミュニティSigmaルールをダウンロードできます。
EDR:SentinelOne、Microsoft Defender ATP、 CrowdStrike、Carbon Black このルールは以下の言語に翻訳されています:SIEM:Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye
EDR:SentinelOne、Microsoft Defender ATP、 CrowdStrike、Carbon Black
MITRE ATT&CK:
戦術:認証情報アクセス、防御回避
手法:認証情報アクセスのためのエクスプロイト(T1212)、レジストリの変更(T1112)
Threat Detection Marketplaceに無料登録し、脅威検出の完全なCI/CDワークフローを提供する業界をリードするCaaSプラットフォームをご利用ください。SOC Primeのライブラリには、100K以上のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、インシデント対応プレイブックが23の主要なSIEM、EDR、NTDRテクノロジーに合わせて集約されています。独自の検出コンテンツを作成したいですか?私たちのThreat Bountyプログラムに参加し、あなたの貢献に報酬を得ませんか!
プラットフォームに移動
Threat Bountyに参加
Get a free subscription to Threat Detection Marketplace, an industry-leading Content-as-a-Service (CaaS) platform that powers complete CI/CD workflow for threat detection by providing qualified, cross-vendor, and cross-tool SOC content. SOC Prime’s library aggregates over 100K queries, parsers, SOC-ready dashboards, YARA and Snort rules, Machine Learning models, and Incident Response Playbooks tailored to 23 market-leading SIEM, EDR, and NTDR technologies. Eager to craft your own detection content? Join our Threat Bounty Program and get rewarded for your input!
