Microsoft Defenderの研究者は、トロイの木馬化されたゲーミングユーティリティを通じてゲーマーを標的にしたサイバーキャンペーンを明らかにしました。
攻撃者は、Xeno.exeやRobloxPlayerBeta.exeなどの正規ファイルに偽装した偽のツールをユーザーにダウンロード・実行させるよう欺きました。これらのファイルはWebブラウザとチャットプラットフォーム経由で配布され、安全で信頼できるものに見えるようにされていました。
攻撃者は、検出を回避するため、PowerShellおよびliving-off-the-land binaries (LOLBins)として知られた信頼されたWindowsシステムツール(cmstp.exeなど)を使用しました。
正規のシステムツールを使用することで、マルウェアは通常のシステム活動に溶け込みました。セキュリティ製品をさらに回避するため、ダウンローダーは実行後に自身を削除しました。
また、悪質なファイルの除外を追加することでMicrosoft Defender の設定を変更し、スキャンされるのを防ぎました。
永続性はスケジュール済みタスクとworld.vbsという名前のスタートアップスクリプトを作成することで実現され、システムが再起動されるたびにマルウェアが実行されるようになりました。
永続性を確立した後、キャンペーンは最終的なペイロードをデプロイしました。これは多目的マルウェアでした。このマルウェアは、ローダー、ランナー、ダウンローダー、およびリモートアクセストロイの木馬(RAT)として機能しました。
RATはIPアドレス79.110.49[.]15のコマンド・アンド・コントロール(C2)サーバーに接続し、攻撃者が感染したマシンをリモートで制御できるようにしました。この接続を通じて、脅威アクターは機密データを盗んだり、追加のマルウェアをデプロイしたり、侵害されたデバイス上でコマンドを実行したりできました。
Microsoft Defenderはマルウェアを正常に検出し、攻撃チェーン全体を通じて疑わしい行動を特定します。
この脅威から防御するため、組織は記載されたIPアドレスと疑わしいドメインへのアウトバウンド接続をブロックするか、厳密に監視する必要があります。
セキュリティチームは、非企業ソースからのJava [.]zipまたはjd-gui.jarのダウンロードについてアラートを生成する必要があります。
エンドポイント全体で関連するプロセスとコンポーネントを検索することも重要です。
管理者はMicrosoft Defenderの除外を確認し、スケジュール済みタスクの異常またはランダムに名前が付けられたエントリを監査する必要があります。悪質なスタートアップスクリプトまたはスケジュール済みタスクはすぐに削除する必要があります。
感染が疑われる場合は、影響を受けたエンドポイントをネットワークから隔離してください。調査のためエンドポイント検出および応答(EDR)テレメトリを収集し、侵害されたシステム上でアクティブだったユーザーの認証情報をリセットしてください。
このキャンペーンは、攻撃者がマルウェアを有用なツールに偽装することでゲーミングコミュニティを継続的にエクスプロイトしている方法を示しており、強力なエンドポイント監視とユーザー認識の必要性を強調しています。
翻訳元: https://cyberpress.org/gaming-utilities-spread-rats/