PipeMonは、Winntiグループによって2018年に侵害されたビデオゲーム会社の証明書で署名されたモジュラーバックドアです。ESETの研究者は 発見しました このバックドアが使われ、人気のあるMassively Multiplayer Onlineゲームを開発している韓国と台湾の企業に対する攻撃で使用されました。バックドアは、Visual Studioプロジェクトの名前として「Monitor」を使用し、複数の名前付きパイプがモジュール間通信に使用されていたため、PipeMonと名付けられました。観察されたすべてのモジュールは異なる機能を示し、IntelLoaderという関数をエクスポートする単一のDLLで、反射的なローディング技術を使用して読み込まれます。インストール中、ローダーはマルウェアをWindows Print Processorsフォルダにドロップし、setup.dllは悪意のあるDLLローダーを代替Print Processorとして登録します。
Winntiグループは少なくとも2011年以来、主にビデオゲームおよびソフトウェア業界を標的に活動しており、医療および教育部門への攻撃はまれです。彼らは、著名なサプライチェーン攻撃や人気ソフトウェアのトロージャン化で悪名高いです。 作戦ShadowHammerは 世界中の数万のシステムに影響を与え、昨年秋には、Winntiグループが PortReuseマルウェアを アジアを拠点とする主要なモバイルハードウェアとソフトウェアの製造者に対する攻撃で使用しました。最新のキャンペーンの調査中に、グループが組織のビルドシステムを侵害し、ビデオゲーム実行ファイル内にマルウェアを仕込む可能性があったインスタンスが少なくとも一つ発見されました。
Ariel MillahuelによるThreat Huntingルールは、 PipeMonモジュラーバックドアが代替プリントプロセッサとして登録されたことをセキュリティソリューションで検出可能にします。 https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1 https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1
このルールは以下のプラットフォーム向けに翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術:(Tactics)防御回避(Defense Evasion)
技術:(Techniques)レジストリの変更(T1112)、難読化されたファイルや情報(T1027)
行為者:(Actors) Winntiグループ
より多くのThreat Huntingコンテンツは私たちのブログで: https://socprime.com/tag/threat-hunting-content/
