脅威ハンティングコンテンツ: エモテットが再び戻ってきた

かつてこれほど悲劇的な話があっただろうか、再び戻ってきたEmotetのこの話ほど。この時は、約7か月間フルスケールのキャンペーンはなかったが、孤立した感染事例が記録され、研究者たちは ドキュメントを発見しました このマルウェアを配布。攻撃は先週の金曜日に再開し、ボットネットが数時間のうちに25万通のメールを送り、主に米国と英国の受信者をターゲットにしました。それ以来、ボットネットは研究者に新たなサンプルを供給し続け、any.runで主要な地位を占めています。 

最近のキャンペーンでは、ボットネットは IcedID トロイの木馬を配布していますが、攻撃者は任意のペイロードに迅速に再構成することができます。昨年、Emotetが 夏全体 の間休暇を取ってから長い時間の後に 「正気に戻った」ことを思い出させます。今回は全てが速く起こり、次の長い休暇を待ち望んでいます。それまでの間に、 Threat Bounty Program のメンバーは、この脅威を検出するための新しいコミュニティコンテンツを提供します: 

Emotet Through Word Document (Sysmon Behavior) by リー・アーチナル – https://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1

公敵エモテットが戻ってきました by オスマン・デミール – https://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1

規則は以下のプラットフォーム向けに翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 初期アクセス、 実行、防御回避、コマンド＆コントロール

技術: スピアフィッシングアタッチメント (T1193)、コマンドラインインターフェイス (T1059)、ホスト上でのインジケーターの削除 (T1070)、標準アプリケーションレイヤプロトコル (T1071)

SOC Prime TDMを試してみる準備はできましたか？ 無料で登録します。または Threat Bounty Programに参加 して独自のコンテンツを作成し、TDMコミュニティと共有しましょう。