脅威ハンティングコンテンツ: TAINTEDSCRIBE トロイの木馬

先週、CISA、FBI、およびDoDは マルウェア分析レポートを公開しました 悪名高いラザルスグループの最近発見されたツールについてのもので、これらは北朝鮮政府の利益に適した作業を実行するものです。このマルウェアのバリアントは、COPPERHEDGE、TAINTEDSCRIBE、PEBBLEDASHと呼ばれ、標的システムでの偵察と機密情報の削除に使用されます。TAINTEDSCRIBEマルウェアは、MicrosoftのNarratorとして偽装されたバックドアインプラントとして使用され、ラザルスグループはこれをC&Cサーバーからの悪意あるモジュールのダウンロード、ファイルのダウンロードおよび実行、Windowsコマンドラインインタープリタの有効化、プロセスの作成および終了に利用します。

ラザルスグループ（別名Hidden Cobra）は、財政的動機のある攻撃とサイバースパイ活動の両方を行う最も危険な脅威アクターの1つです。攻撃者たちは 約20億ドルを盗むことに成功しましたいくつかのケースでは、このグループは TrickBotマルウェア（Anchor Project）を使用しました 組織に最初に侵入するために使用されました。

Ariel Millahuelによる新しい脅威ハンティングルールが ラザルスグループのTAINTEDSCRIBEトロイの木馬を使用した活動を明らかにし、被害者のネットワークでの持続性の維持とさらなるネットワークエクスプロイトを行っています： uncovers the Lazarus group activity of using TAINTEDSCRIBE Trojan to maintain persistence on victim networks and further network exploitation: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

このルールは次のプラットフォームに対する翻訳があります：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、RSA NetWitness

EDR：Windows Defender ATP、Carbon Black、Elastic Endpoint

MITRE ATT&CK：

戦術：持続性、特権昇格

技術：スタートアップアイテム（T1165）

ラザルスグループが使用する戦術についてさらに学び、MITRE ATT&CKセクションのThreat Detection Marketplaceでそれらを検出するためのコンテンツを見つけることができます： https://tdm.socprime.com/att-ck/