ZuoRATマルウェア検出

[post-views]
6月 29, 2022 · 6 分で読めます
ZuoRATマルウェア検出

ZuoRATと名付けられたステルス性の高い遠隔操作トロイの木馬(RAT)が、比較的簡単に標的にされる小規模オフィス/在宅オフィス(SOHO)ルーターを侵害しています。このマルウェアは2020年から使用されており、主に米国と西欧を拠点にした企業ネットワークへのアクセスを持つリモートワーカーに影響を与えています。研究者は、観察された戦術、技術、手順(TTP)が、中国に国家支援されている可能性が高い手の込んだ脅威アクターによってキャンペーンが運営されていることを示していると警告しています。

ZuoRATマルウェアを検出する

システム内のZuoRATマルウェアを検出するために、最上位のSOC Prime Threat Bounty開発者によって提供された以下のSigmaルールを使用してください カーン・イェニヨル and オスマン・デミール:

プロキシを介したZuoRATハイジャックによる可能な初期アクセス

SOHOルーターをハイジャックする疑わしいZuoRATマルウェア(ファイルイベント経由)

これらの検出ルールは、 MITRE ATT&CK®フレームワーク v.10に対応しており、公に対面しているアプリケーションのエクスプロイト(T1190)およびファイルとディレクトリの検索(T1083)技術で表される初期アクセスと探索戦術に取り組んでいます。

SOC Primeの Threat Bounty Program は、経験豊富な脅威ハンターと志望者の両方が、専門的なコーチングと安定した収益と引き換えにSigmaベースの検出コンテンツを共有することを歓迎しています。

ZuoRAT攻撃を特定するSigmaルールをチェックして – 検出とハント ボタンをクリックすると、25以上のSIEM、EDR、XDRソリューションに特化した専用ルールの広範なライブラリにアクセスできます。この 脅威コンテキストの探索 は、SOCプロフェッショナルのすべての登録ユーザーへのアクセス権をすべてのユーザーに提供します。

検出とハント 脅威コンテキストの探索

ZuoRATキャンペーン分析

COVID-19パンデミックはセキュリティ専門家に多くの問題を引き起こしました。リモートワークによって引き起こされるセキュリティリスクの豊富なプールが、この数年で着実に増加しており、今後も続くでしょう。リモートワーク環境の条件を利用した最近開示されたオペレーションの1つは、改良されたバージョンの多段遠隔操作トロイの木馬ZuoRATによる攻撃です。これは Miraiボットネットの一部であり、Cisco、ASUS、DrayTek、NETGEARのようなベンダーのルーターに対して開始されました。

LumenのBlack Lotus Labs のセキュリティアナリストは、感染したデバイスが送信するデータを傍受し、ネットワーク全体で通信を掌握することで、LAN上の他のデバイスにアクセスするために、侵害されたSOHOルーターを利用したキャンペーンに関する調査結果を詳細に記載した報告書を発表しました。敵対者は侵害されたネットワークを横断し、Cobalt Strike ビーコン、CBeacon、GoBeaconなどの追加の悪意のあるペイロードを展開し、ターゲットのデバイスまたはプロセスで任意のコマンドを実行する機能を達成します。 released a report detailing their research into a campaign utilizing compromised SOHO routers to intercept data sent by the infected device and take over communications throughout the network in order to gain access to other devices on the LAN. Adversaries move laterally across the compromised network and deploy additional malicious payloads, such as Cobalt Strike beacons, CBeacon and GoBeacon, achieving the ability to run any commands on a targeted device or in any process.

この難しい形態のマルウェアによるセキュリティ違反は、パンデミック関連の制限の最初の波の始まりと共に2020年に始まり、リモートワークフォースの急激な増加と共に始まったことを示唆する研究データがあります。発見されないようにするために、マルウェア操作員はルーター間通信と侵害されたプロキシの回転を行いました。

世界中のリモートワーカーに対するサイバー攻撃の数量と深刻度の増加により、日々より多くのビジネスが危険にさらされています。最高のセキュリティプラクティスで御社を装備するために、 SOC Primeプラットフォームに登録してください.

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko SOC Primeが個人のサイバー防衛者向けリファラルプログラムを発表 5 分で読めます SOCプライムプラットフォーム SOC Primeが個人のサイバー防衛者向けリファラルプログラムを発表 by Daryna Olyniychuk XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで 6 分で読めます 最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Telychko
すべてのニュース