ご存知のように、Malware-as-a-Service (MaaS) は既に一般的になっており、地下フォーラムやブラックマーケットでサービスを提供しています。Golden Chickens MaaS を使った最初の攻撃は 2017年に始まり、Cobaltグループは彼らの最初の「クライアント」の一つでした。このプロジェクトの成功は、ターゲット攻撃に必要なマルウェアとインフラストラクチャを顧客に提供する特定のツールとサービスに大きく依存しています。
今春、マルウェア作者たちは再び TerraLoader、VenomLNK、および more_eggs を改良し、いくつかの脅威アクターが既に更新された機能を活用しています。TerraLoader は PureBasic で書かれた多目的ローダーで、その新しいバリアントは、異なる文字列の難読化/逆難読化、ブルートフォースの実装、そしてアンチ分析技術を使用します。VenomLNK は VenomKit ビルドキットの新しいバージョンによって生成された可能性のある Windows ショートカットファイルです。今では新しいボリュームシリアルナンバー、進化した実行スキーム、Windows コマンドプロンプトへのローカルパスのみを使用します。そして more_eggs バックドアは、アクションの実行または再試行前に最小の遅延を含め、使用後にメモリをクリーンアップします。
新しいコミュニティ脅威ハンティング Sigma による Osman Demir は、Golden Chickens MaaS の一部である更新されたツールを検出するのに役立ちます: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1
このルールは次のプラットフォームに対する翻訳を持っています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 実行, 回避, 持続性, 権限昇格
技法: Regsvr32 (T1117)、スケジュールされたタスク (T1053)、ユーザー実行 (T1204)
SOC Prime TDM を試してみませんか? 無料でサインアップ。または Threat Bounty Program に参加して 独自のコンテンツを作成し、TDM コミュニティと共有しましょう。
