脅威ハンティングルール: PurpleWave インフォスティーラー

別の インフォスティーラー がバックドア機能を持っていることが7月末に発見されました。マルウェアの作成者はロシアのサイバー犯罪フォーラムでこれを宣伝し、このユーティリティの様々な改造版を手頃な価格で販売しています。新しいインフォスティーラーはC++で書かれ、作成者によってPurpleWaveと名付けられました。 

このマルウェアは攻撃されたシステム上でハッカーの選択による数々の悪意ある行動を実行することができます。インフォスティーラーの主な機能は、パスワード、クッキー、クレジットカード、オートフィルのデータ、ブラウザの履歴を盗むことです。PurpleWaveは指定されたパスからファイルを収集し、スクリーンショットを撮り、システム情報を集めて外部に送信し、Telegramのセッションファイル、Steamアプリのデータ、暗号通貨のウォレットデータを盗むことができます。バックドアの機能には、追加のモジュールやマルウェアのダウンロードと実行も含まれています。このマルウェアがどのようなモジュールを持っているかは現在不明ですが、まだ開発の初期段階であり、作成者はおそらく新機能やステルス性を備えた追加の能力を追加するでしょう。

コミュニティの脅威ハンティングルールは Osman Demir によって開発され、被害を受ける前の初期段階でPurpleWaveインフォスティーラーを検出するのに役立ちます： https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

このルールは次のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、LogPoint、Humio

EDR: Carbon Black、Elastic Endpoint

MITRE ATT&CK: 

戦術: コマンド＆コントロール、資格情報アクセス

技術: ウェブブラウザからの資格情報取得 (T1503)、標準アプリケーションレイヤープロトコル (T1071)、ウェブセッションクッキーの盗難 (T1539)

SOC Prime TDMを試してみますか？ 無料でサインアップ。または 脅威報奨プログラムに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。