脅威ハンティングコンテンツ: デビルシャドウボットネット

[post-views]
6月 01, 2020 · 4 分で読めます
脅威ハンティングコンテンツ: デビルシャドウボットネット

現在、ロックダウン中に、多くの組織がこのアプリケーションのセキュリティ問題にもかかわらず、企業レベルでの会議ミーティングを実施するために引き続きZoomを使用しています。攻撃者は、このアプリケーションの人気の高まりを数ヶ月にわたって悪用してきており、組織を攻撃から部分的に保護することができます。 Zoomサービスを強化することで。しかし、これだけでは問題を完全に解決することはできません。サイバー犯罪者は、ユーザーにZoomインストーラーの代わりにマルウェアへのリンクを送信することができ、現在は 偽のインストーラーにマルウェアを隠しており、正規のZoomインストーラーのバージョンを実行して疑念を避けます。このようなインストーラーは大きく、正規のファイルよりも実行が遅いですが、一般のユーザーはおそらく注意を払わないでしょう。このようにして、攻撃者は現在Devil Shadow Botnetを配布しています。

このボットネットを使用して、サイバー犯罪者はウェブカメラを通じて被害者をスパイし、スクリーンショットを取り、キー入力記録モジュールを使用して、次の攻撃ステップに必要な資格情報やその他の機密情報を収集することができます。

SOC Primeの参加者 Threat Bounty Program はこの脅威に迅速に対応し、Devil Shadow Botnetの痕跡を発見するための2つのコミュニティSigmaルールを公開しました。これらのルールは非常に異なっており、異なるMITRE ATT&CK技術をカバーしています。

Emir Erdoganによる偽のZOOM Installer.exe (Devil Shadow Botnet): https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Osman Demirによる偽のZoomインストーラーに隠されたDevil Shadow Botnet: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

ルールは次のプラットフォーム向けに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行, 権限昇格, 資格情報アクセス, 永続性, 防御回避, 指揮統制

技術: ユーザー実行 (T1204), フック (T1179), カーネルモジュールと拡張機能 (T1215), プロセス注入 (T1055), ソフトウェアパッキング (T1045), 非常用ポート (T1065)

Zoom関連の攻撃を検出するための追加のルール: https://tdm.socprime.com/?searchValue=zoom

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。