Confucius APTによる標的型攻撃で使用されるWarzone RATマルウェア

セキュリティ研究者たちは、Warzone RATマルウェアを利用してターゲットを侵害する進行中のConfucius APTキャンペーンを発見しました。このキャンペーンは、おそらく中国およびその他の南アジアの国々の政府部門を狙っていると考えられています。

Warzone RATの説明

Warzone リモートアクセス トロイの木馬 (RAT) は、 AveMariaスティーラーの画期的な後継であり、2018年にマルウェア・アズ・ア・サービス (MaaS) の系統として登場しました。2020年を通じて、Warzoneはその運営者によって大幅に改善され、悪意のあるアリーナでの競争力を高めました。このトロイの木馬は現在、レンタル期間が1か月から3か月と異なる場合もあり、$23-$50で販売されています。また、WarzoneはRATポイズン、Crypter、.DOCおよびExcel向けのサイレントエクスプロイトを含むいくつかの有料オプションを提供しています。さらに、 トロイの木馬のクラック版 がGitHubにアップロードされており、サイバー犯罪者コミュニティ全体でのマルウェアの採用が広がっています。

では、Warzone RATマルウェアとは何ですか？Warzoneは、C++言語で書かれた本格的なリモートアクセス トロイの木馬で、ほとんどのWindowsバージョンと互換性があります。研究者の 分析によると、このトロイの木馬はターゲットにされたPCの完全なリモートコントロールを提供できます。機能のリストには、主要なブラウザおよびメールクライアント (Chrome、Firefox、Opera、Internet Explorer、Thunderbird、Foxmail、Outlookなど) からの自動パスワードダンピングが含まれています。また、マルウェアは、侵害されたデバイスへのファイルのダウンロードと実行、キーロギングおよびコマンド実行、ウェブカメラモジュールの接続、リバースプロキシの有効化、およびリモートシェルの促進を行うことができます。

Warzone RATは、検出を回避し、侵害されたマシンで特権を高めることに成功していることも注目に値します。このマルウェアは、 UACバイパス を組み込んでおり、Windows 10のデフォルトのファイルシステムの制限を超えることができます。それは、 sdclt.exe機能の誤用 によって、システムのバックアップおよび復元機能内で実行されます。以前のWindowsバージョンの場合、マルウェアは構成に含まれる別のUACバイパスを適用します。

攻撃の概要

Uptycsの研究者たちは、最新のConfucius APTキャンペーンで活用されたWarzoneの攻撃キルチェーンを 分析しました 。侵入は、「中国の巡航ミサイル能力-インド陸軍への影響.docx」と名付けられたデコイドキュメントから始まります。このような誘惑は、インドと中国の国境緊張を説明しているため、ターゲットとされた政府部門の従業員の注意を引くかもしれません。ユーザーがこのドキュメントを開くよう説得された場合、テンプレート注入を介して次の段階のRTFエクスプロイトがダウンロードされます。このエクスプロイトは、埋め込まれたDLLを介して最終的なWarzone RATペイロードをドロップします。

DLLの分析により、研究者たちは、この地域の他の公共部門の標的を狙ったと思われる3つのデコイドキュメントを特定しました。誘引は、中国の台湾海峡での軍事活動、ジョー・バイデンの核兵器問題に関する決定、およびパキスタン宇宙科学＆上層大気研究委員会 (SUPARCO) への求人応募に関連しています。これらの餌は2020年10月から配布されており、キャンペーンが少なくとも数か月続いていることを示しています。

Warzone RATマルウェアの検出

Warzone RATの悪意のある活動を検出するには、Threat Bountyの開発者Osman Demirによってリリースされた最新のSigmaルールをダウンロードすることができます:

https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/

ルールは、以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

MITRE ATT&CK:

戦術: 実行, 永続性

技術: コマンドライン インターフェイス (T1059), レジストリ ランキー／スタートアップ フォルダ (T1060)

Threat Detection Marketplaceへの有料アクセスがない場合、コミュニティサブスクリプションで無料トライアルを有効化して、Warzoneリモートアクセス トロイの木馬に関連するSigmaルールを解除できます。

無料で利用できるより関連性の高いSOCコンテンツを当プラットフォームで確認するには、 Threat Detection Marketplaceに登録してください。当社では、SIEM、EDR、NTDR、SOARプラットフォームと互換性のある81,000以上の検出コンテンツアイテムを提供しています。自分自身のSigmaルールを作成し、脅威ハンティングの取り組みに貢献したいですか？ より安全な未来のために、Threat Bounty Programに参加しよう! for a safer future!