VenomRAT検出：ScrubCryptを使用した新たなマルチステージ攻撃で悪意のあるプラグインと共に最終ペイロードを展開

サイバーセキュリティ研究者たちは、ScrubCryptアンチマルウェア回避ツールを利用して、VenomRATおよび悪意のあるプラグインを多数ドロップする、新たで洗練された多段階攻撃を明らかにしました。この中には悪名高い Remcos、XWorm、 NanoCore RAT、その他の悪意のあるストレインが含まれています。

ScrubCrypt経由で展開されるVenomRATを検知する

サイバー攻撃が増え、ますます高度な侵入方法が用いられるにつれ、サイバー防御者は、サイバー防御能力をスケールアップさせるために先進的なソリューションを必要としています。集合的サイバー防御のためのSOC Primeプラットフォームは、最新のTTPに対する振る舞いに基づく検知の世界最大のリポジトリを提供し、脅威の検知およびハンティングのための最先端技術を提供します。

最新のScrubCryptキャンペーンに関連する悪意のある活動を特定するために、セキュリティ専門家はSOC Primeプラットフォームで利用可能な選定された検出スタックに頼ることができます。下の「Explore Detection」ボタンを押すだけで、28のSIEM、EDR、データレイク技術に対応した関連するSigmaルールリストにすぐに詳しく調べることができます。全ての検出はMITRE ATT&CKフレームワークv14.1にマッピングされ、特化した脅威インテリジェンスで強化されています。

検出を探索する

さらに、サイバーセキュリティの専門家は「VenomRAT」タグを使用して脅威検出マーケットプレイスを検索するか、 このリンク.

を使用して、VenomRAT攻撃に対処する検出コンテンツのセットを探索することができます

ScrubCryptアタックを通じて広がるVenomRATの攻撃解析 発表したレポート フィッシング攻撃の手法を利用して開始された新たな高度な攻撃キャンペーンを明らかにしました。ハッカーはScrubCryptフレームワークを用いて、多数のレイヤーの難読化および回避技術を使用する一連の他の悪意のあるプラグインとともにVenomRATペイロードを配布します。

感染チェーンは、悪意のあるSVGファイルを含むフィッシングメールによって引き起こされます。メール内の釣り添付ファイルをクリックすると、BatCloakユーティリティで難読化されたバッチファイルを含むZIPアーカイブのダウンロードが行われます。さらに、ハッカーはScrubCryptを適用して、感染したシステムにVenomRATやさらに有害なプラグインを拡散し、C2サーバとの接続を確立します。

ScrubCryptを通じて配布される最初のペイロードは、持続性を確立し、ターゲットのマルウェアを読み込むという2つの主な目的を果たします。改造された悪名高い Quasar RATの一迭ともいえるVenomRATは、2020年以降サイバー脅威の場に現れています。攻撃者はこれを用いて、影響を受けたシステムに不正にアクセスし、制御を奪取します。他のRATと同様に、VenomRATは攻撃者が被害者の認識や承認なしにリモートでデバイスを操作することを可能にし、さまざまな悪意のある活動を支援します。

加えて、ハッカーは、難読化されたVBSファイルを使用して NanoCore RAT を影響を受けたインスタンスに広げ、更にXWorm RATをドロップします。このマルウェアは、機密データの盗難やリモートアクセスを可能にすることができます。この攻撃キャンペーンで適用される第4のプラグインは悪名高い Remcos RATで、ウクライナを対象としたフィッシングキャンペーンで積極的に利用されています。攻撃者のツールキットからのもう一つのプラグインは、前述の難読化されたVBSスクリプト経由で配布されるだけでなく、SmartAssemblyで難読化された.NET実行ファイルに統合されているスティーラーです。このプラグインには、ユーザーの機密データを盗む意図でハードコードされた配列が含まれています。これにより、ユーザーのシステムを継続的に監視し、特定の暗号ウォレットに目をつけます。

持続性を維持し、検出を回避し、様々なペイロードを展開する能力を示す同様に洗練されたサイバー攻撃の出現が、侵入のリスクを最小化するための強力なサイバー防御対策の必要性を強めています。 SOC PrimeのAttack Detectiveを活用することにより、組織は自動化された検出スタックの検証を通じて、攻撃が行われる前に攻撃を未然に防ぐことができるサイバー防御を向上させることが可能です。