脅威ハンティングコンテンツ：DropboxAES RATの検出

今日は、APT31グループによってサイバー諜報活動で使用されているDropboxAESトロイの木馬についてお知らせし、このマルウェアを検出するためのCommunity Sigmaルールへのリンクも提供します。

一般的に、DropboxAESは他のリモートアクセス型トロイの木馬と大差ありません。これはAPT31（BRONZE VINEWOODとしても知られる）の兵器庫における比較的新しいツールです。このマルウェアは、コマンド＆コントロール通信にDropboxファイル共有サービスを使用していることからその名前がつけられました。APT31グループは以前、HanaLoaderマルウェアと共にこのトロイの木馬を展開しましたが、詳細は次回のブログ投稿でお伝えします。ローダーはDLL Search Order Hijacking技術を使用して最終的なペイロードを実行します。DropboxAES RATは、攻撃者が感染したホストからファイルをC＆Cサーバーにアップロードしたり、 C＆Cサーバーから感染したホストにファイルをダウンロードしたり、非対話型コマンドラインベースのリバースシェルを通じて感染したホストでコマンドを実行したり、感染したホストの基本的なシステム情報をC＆Cサーバーにアップロードしたり、自身を完全に感染したシステムから削除したりすることを可能にします。

研究者は、 このトロイの木馬を法務、コンサルティング、ソフトウェア開発組織を標的としたキャンペーンで発見しました。彼らは、攻撃者が政府または防衛供給チェーンに興味を持っていると考えています。 the trojan in a campaign targeted at legal, consulting, and software development organizations. They believe that attackers are interested in government or defense supply chains. 

APT31は、特定の組織がその分野で競争力を持つためのデータやプロジェクトに焦点を当てた、知的財産の窃盗に特化した中国の脅威アクターです。

Ariel Millahuelは、組織のネットワーク内にこのしつこいマルウェアの存在を暴く新しい脅威ハンティングルールを公開しました。 https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1 https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

このルールは以下のプラットフォームに対応する翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術： 持続性

技法：レジストリ実行キー / スタートアップフォルダ (T1060)