3CX 以前のソフトウェア サプライ チェーンの侵害によって引き起こされたソフトウェア サプライ チェーンの侵害。 北朝鮮俳優容疑者が関与

2023 年 3 月、Mandiant Consulting は、3CX デスクトップ アプリ ソフトウェアに影響を与えたサプライ チェーン侵害に対応しました。 この対応の中で、マンディアントは、3CX のネットワークの最初の侵害ベクトルが、Trading Technologies の Web サイトからダウンロードされた悪意のあるソフトウェアを介したものであることを特定しました。 Mandiant がソフトウェア サプライ チェーン攻撃が別のソフトウェア サプライ チェーン攻撃につながるのを確認したのはこれが初めてです。

3CX デスクトップ アプリは、チャット、ビデオ通話、音声通話などのコミュニケーションをユーザーに提供するエンタープライズ ソフトウェアです。 2023 年 3 月下旬、ソフトウェア サプライ チェーンの侵害により、Web サイトからダウンロードできる 3CX の正規ソフトウェアのトロイの木馬化バージョンを介してマルウェアが拡散しました。 影響を受けるソフトウェアは 3CX DesktopApp 18.12.416 以前で、ダウンローダー SUDDENICON を実行する悪意のあるコードが含まれており、GitHub でホストされている暗号化されたアイコン ファイルから追加のコマンド アンド コントロール (C2) サーバーを受信しました。 復号化された C2 サーバーは、ブラウザ情報を盗むデータマイナーである ICONICSTEALER として識別される第 3 段階をダウンロードするために使用されました。 マンディアントはこの活動をUNC4736、北朝鮮関連の活動クラスターと疑われるものとして追跡している。

Mandiant Consulting による 3CX サプライ チェーン侵害の調査により、最初の侵入ベクトルが明らかになりました。それは、Trading Technologies が提供するソフトウェア パッケージである X_TRADER の改ざんされたインストーラーから始まった、以前のソフトウェア サプライ チェーン侵害を通じて配布されたマルウェア入りソフトウェア パッケージです (図 1)。 。 Mandiant は、複雑な読み込みプロセスが、多段階モジュラー バックドアである VEILEDSIGNAL とそのモジュールの展開につながったと判断しました。

Mandiant Consulting は、悪意のあるモジュラー バックドア VEILEDSIGNAL の展開につながる、ファイル名 X_TRADER_r7.17.90p608.exe (MD5: ef4ab22e565684424b4142b1294f1f4d) のインストーラーを特定しました。

X_TRADER プラットフォームは 2020 年に廃止されたと伝えられていますが、2022 年になっても正規の Trading Technologies Web サイトからダウンロードできました。このファイルは「Trading Technologies International, Inc」という件名で署名されており、実行可能ファイル Setup.exe が含まれていました。同じデジタル証明書で署名されています。 悪意のあるソフトウェアのデジタル署名に使用されるコード署名証明書は、2022 年 10 月に期限切れになる予定でした。

インストーラーには Setup.exe が含まれており、これを実行すると、トロイの木馬化された 2 つの DLL と無害な実行可能ファイルがドロップされます。 Setup.exe は、良性の実行可能ファイルを使用して、悪意のある DLL の 1 つをサイドロードします。 サイドローディングは、正規の Windows 実行可能ファイルに依存して、正規の依存関係として偽装された悪意のあるファイルをロードして実行します。 ロードされた悪意のある DLL には、SIGFLIP と DAVESHELL が含まれており、これを使用して、ドロップされた他の悪意のある実行可能ファイルからペイロードを復号してメモリにロードします。 SIGFLIP は、選択したペイロードを復号化するために RC4 ストリーム暗号に依存し、復号段階でバイト シーケンス FEEDFACE を使用してシェルコード (この場合は DAVESHELL) を見つけます。

SIGFLIP と DAVESHELL は、モジュラー バックドア VEILEDSIGNAL と 2 つの対応するモジュールを抽出して実行します。 VEILEDSIGNAL は、プロセス インジェクションと C2 サーバーとの通信のために、抽出された 2 つのモジュールに依存します。

VEILEDSIGNAL とそれに付随する 2 つのコンポーネントは、次の機能を提供します。

VEILEDSIGNAL の特定されたサンプル (MD5: c6441c961dcad0fe127514a918eaabd4) の C2 構成は、ハードコードされた URL: www.tradingtechnologies[.]com/trading/order-management に依存していました。

侵害された X_TRADER アプリケーションと 3CXDesktopApp アプリケーションはどちらも同じ方法でペイロードを含み、抽出し、実行しますが、最終的なペイロードは異なります。 マンディアントはこれらのサンプルを分析し、次の類似点を観察しました。

攻撃者は、公開されている Fast Reverse Proxy プロジェクトのコンパイル済みバージョンを使用して、攻撃中に 3CX 組織内を横方向に移動しました。 ファイル MsMpEng.exe (MD5: 19dbffec4e359a198daf4ffca1ab9165) は、脅威アクターによって C:\Windows\System32 にドロップされました。

Mandiant は、攻撃者が認証情報を収集して横方向に移動する際の環境全体でのステップを再構築することができました。 最終的に、攻撃者は Windows と macOS の両方のビルド環境を侵害することができました。 Windows ビルド環境上で、攻撃者は TAXHAUL ランチャーと COLDCAT ダウンローダーを展開し、IKEEXT サービスを通じて DLL 検索順序のハイジャックを実行して永続化し、LocalSystem 権限で実行しました。 macOS ビルド サーバーは、永続化メカニズムとして Launch Daemon を使用する POOLRAT バックドアによって侵害されました。

以前のレポートでは、macOS ビルド サーバーが SIMPLESEA によって侵害されたと述べられていました。 Mandiant Intelligence はサンプルの分析を完了し、それが新しいマルウェア ファミリではなくバックドアの POOLRAT であると判断しました。

UNC4736 は、マンディアント インテリジェンスが追跡している複数の北朝鮮の事業者、特に金銭目的のサイバー犯罪活動に関与している事業者と、さまざまな程度の重複を示しています。 これらのクラスターは、長期にわたって暗号通貨とフィンテック関連サービスに継続的に焦点を当てていることを実証しています。

マンディアントは、CISAが報告したように、UNC4736が金銭目的の北朝鮮の「AppleJeus」活動に関連していると中程度の自信を持って評価している。 これは、サイトから侵害された X_TRADER アップデートが配布される前に、2022 年 2 月に www.tradingtechnologies[.]com の侵害を報告した Google TAG の調査結果とさらに裏付けられます。

UNC4736 と、APT43 活動が疑われる 2 つのクラスター (UNC3782 および UNC4469) との間の弱いインフラストラクチャの重複も確認されました。

日付

ドメイン

UNC

2022-12-20

カーブファイナンス[.]com

UNC4469

2022-12-29

pbxphonenetwork[.]com

UNC4736

日付

ドメイン

UNC

2022-04-08

ジャーナライド[.]org

UNC4736

2021-11-26

nxmnv[.]サイト

UNC3782

日付

ドメイン

UNC

2023-01-09

msedgepackageinfo[.]com

UNC4736

2023-03-22

apollo-crypto.org.shilaerc20[.]com

UNC4469

特定されたソフトウェア サプライ チェーンの侵害は、連鎖的なソフトウェア サプライ チェーンの侵害につながったものとして当社が認識している初めてのものです。 この調査で実証されたように、特に脅威アクターが侵入を連鎖させることができる場合、この種の侵害の潜在的な範囲が示されています。 UNC4736 の活動に関する研究は、これが金銭目的の北朝鮮の脅威アクターと関連している可能性が最も高いことを示唆しています。 ソフトウェア サプライ チェーンの侵害の連鎖は、北朝鮮の通信事業者が創造的な方法でネットワーク アクセスを悪用してマルウェアを開発、配布し、北朝鮮の利益に沿った作戦を実行しながら標的ネットワーク間を移動できることを示しています。

アイコニックスティーラー

ICONICSTEALER は、アプリケーション構成データとブラウザ履歴を収集する C/C++ データ マイナーです。

デイブシェル

DAVESHELL は、メモリ内ドロッパーとして機能するシェルコードです。 埋め込まれたペイロードはメモリにマッピングされて実行されます。

シグクリップ

SigFlip は、authenticode で署名された PE-COFF ファイルにパッチを適用して、ファイルの署名に影響を与えたり壊したりすることなく任意のコードを挿入するためのツールです。

プールラット

POOLRAT は、基本的なシステム情報を収集し、コマンドを実行できる C/C++ macOS バックドアです。 実行されるコマンドには、任意のコマンドの実行、ファイルの安全な削除、ファイルの読み取りと書き込み、構成の更新が含まれます。

税務署

TAXHAUL は、実行されると、C:\Windows\System32\config\TxR\<マシン ハードウェア プロファイル GUID>.TxR.0.regtrans-ms にあるシェルコード ペイロードを復号化する DLL です。 Mandiant は、TAXHAUL が DLL 検索順序のハイジャックを介して存続することを確認しました。

コールドキャット

COLDCAT は複雑なダウンローダーです。 COLDCAT は一意のホスト識別子情報を生成し、Cookie ヘッダー内のデータを含む POST リクエストを介して別のファイルで指定された C2 にそれをビーコンします。 短いハンドシェイクの後、マルウェアはそれに応じて、base64 でエンコードされたシェルコードが実行されることを期待します。

誘導信号

VEILEDSIGNAL は C で書かれたバックドアで、シェルコードを実行して自身を終了することができます。 さらに、VEILEDSIGNAL は、Windows 名前付きパイプを介して接続し、C2 インフラストラクチャと対話する追加モジュールに依存します。

協力とレビューをしていただいた Michael Bailey、Willi Ballenthin、Michael Barnhart、Jakub Jozwiak に心より感謝いたします。 Mandiant は、この調査で協力してくれた Google Threat Analysis Group (TAG) と Microsoft Threat Intelligence Center (MSTIC) にも感謝します。

資源開発

初期アクセス

持続性

権限昇格

防御回避

発見

コマンドと制御

インパクト

ルール M_Hunting_3CXDesktopApp_Key {

メタ:

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "悪意のある 3CXDesktopApp ファイル内で見つかったキーを検出します"

md5="74bc2d0b6680faa1a5a76b27e5479cbc"

日付 = "2023/03/29"

バージョン = "1"

文字列:

$key = "3jB(2bsG#@c7" ワイド ASCII)

状態：

$key

}

ルール M_Hunting_3CXDesktopApp_Export {

メタ:

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "3CXDesktopApp マルウェアで使用されるエクスポートを検出します"

md5="7faea2b01796b80d180399040bb69835"

日付 = "2023/03/31"

バージョン = "1"

文字列:

$str1 = "DllGetClassObject" ワイド ASCII

$str2 = "3CXDesktopApp" ワイド ASCII

状態：

($str*) のすべて

}

ルール TAXHAUL{ メタ: 著者 = "Mandiant" 作成 = "04/03/2023" 修正 = "04/03/2023" バージョン = "1.0" 文字列: $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4] eb??4533f64c8d3d[4]eb} $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074} 条件: uint16(0) == 0x5A4D およびそれらのいずれか}

ルール M_Hunting_MSI_Installer_3CX_1

{

メタ:

著者＝「マンディアント」

md5 = "0eeb1c0133eb4d571178b2d9d14ce3e9、f3d4144860ca10ba60f7ef4d176cc736"

文字列:

$ss1 = { 20 00 5F 64 33 64 63 6F 6D 70 69 6C 65 72 5F 34 37 2E 64 6C 6C 5F }

$ss2 = { 20 00 5F 33 43 58 44 65 73 6B 74 6F 70 41 70 70 2E }

$ss3 = { 20 00 5F 66 66 6D 70 65 67 2E 64 6C 6C 5F }

$ss4 = "3CX Ltd1" ascii

$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }

$sc2 = "202303" ascii

状態：

(uint32(0) == 0xE011CFD0)、ファイルサイズ > 90MB、ファイルサイズ < 105MB、およびそれらすべて

}

ルール M_Hunting_TAXHAUL_Hash_1

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "ルールは、TAXHAUL のインスタンスで観察される文字列ハッシュ アルゴリズムで使用されるハードコードされた値を探します。"

md5="e424f4e52d21c3da1b08394b42bc0829"

文字列:

$c_x64 = { 25 A3 87 DE [4-20] 25 A3 87 DE [4-20] 25 A3 87 DE }

状態：

ファイルサイズ < 15MB および uint16(0) == 0x5a4d および uint32(uint32(0x3C)) == 0x00004550 およびそれらのいずれか

}

ルール M_Hunting_SigFlip_SigLoader_Native

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "ルールは SigLoader に存在する文字列を検索します (ネイティブ)"

md5="a3ccc48db9eabfed7245ad6e3a5b203f"

文字列:

$s1 = "[*]: 基本ローダー..." ascii ワイド

$s2 = "[!]: PE パスまたは暗号化キーがありません..." ascii ワイド

$s3 = "[!]: 使用法: %s <暗号化キー>" ascii ワイド

$s4 = "[*]: PE ファイル '%s' のロード/解析中" ascii ワイド

$s5 = "[!]: ファイル %s を読み取れませんでした" ASCII ワイド

$s6 = "[!]: '%s' は有効な PE ファイルではありません" ascii ワイド

$s7 = "[+]: 証明書テーブル RVA %x" ascii ワイド

$s8 = "[+]: 証明書テーブル サイズ %d" ascii 幅

$s9 = "[*]: タグが見つかりました 0x%x%x%x%x" ascii ワイド

$s10 = "[!]: データ/シェルコードが見つかりませんでした" ASCII ワイド

$s11 = "[+]: 暗号化/復号化されたデータ サイズ %d" ASCII ワイド

状態：

ファイルサイズ < 15MB および uint16(0) == 0x5a4d および uint32(uint32(0x3C)) == 0x00004550 および ($s*) の 4

}

ルール M_Hunting_Raw64_DAVESHELL_Bootstrap

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "ルールは DAVESHELL に存在するブートストラップ シェルコード (64 ビット) を検索します"

md5="8a34adda5b981498234be921f86dfb27"

文字列:

$b6ba50888f08e4f39b43ef67da27521dcfc61f1e = { E8 00 00 00 00 59 49 89 C8 48 81 C1 ?? ?? ?? ?? ば?? ?? ?? ?? 49 81 C0 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 56 48 89 E6 48 83 E4 F0 48 83 EC 30 C7 44 24 20 ?? ?? ?? ?? E8?? 00 00 00 48 89 F4 5E C3 }

$e32abbe82e1f957fb058c3770375da3bf71a8cab = { E8 00 00 00 00 59 49 89 C8 BA ?? ?? ?? ?? 49 81 C0 ?? ?? ?? ?? 41 B9 ?? ?? ?? ?? 56 48 89 E6 48 83 E4 F0 48 83 EC 30 48 89 4C 24 28 48 81 C1 ?? ?? ?? ?? C7 44 24 20 ?? ?? ?? ?? E8?? 00 00 00 48 89 F4 5E C3 }

状態：

ファイルサイズ < 15MB およびそのいずれか

}

ルール M_Hunting_MSI_Installer_3CX_1

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

description = "このルールは、文字列と署名証明書で観察される MSI インストーラー内のハードコーディングされた値を検索します"

md5="0eeb1c0133eb4d571178b2d9d14ce3e9"

文字列:

$ss1 = { 20 00 5F 64 33 64 63 6F 6D 70 69 6C 65 72 5F 34 37 2E 64 6C 6C 5F }

$ss2 = { 20 00 5F 33 43 58 44 65 73 6B 74 6F 70 41 70 70 2E }

$ss3 = { 20 00 5F 66 66 6D 70 65 67 2E 64 6C 6C 5F }

$ss4 = "3CX Ltd1" ascii

$sc1 = { 1B 66 11 DF 9C 9A 4D 6E CC 8E D5 0C 9B 91 78 73 }

$sc2 = "202303" ascii

状態：

(uint32(0) == 0xE011CFD0)、ファイルサイズ > 90MB、ファイルサイズ < 100MB、およびそれらすべて

}

ルール M_Hunting_VEILEDSIGNAL_1

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5 = "404b09def6054a281b41d309d809a428、c6441c961dcad0fe127514a918eaabd4"

文字列:

$rh1 = { 68 5D 7A D2 2C 3C 14 81 2C 3C 14 81 2C 3C 14 81 77 54 10 80 26 3C 14 81 77 54 17 80 29 3C 14 81 77 54 11 80 AB 3C 14 8 1 D4 4C 11 80 33 3C 14 81 D4 4C 10 80 22 3C 14 81 D4 4C 17 80 25 3C 14 81 77 54 15 80 27 3C 14 81 2C 3C 15 81 4B 3C 14 81 94 4D 1D 80 28 3C 14 81 94 4D 14 80 2D 3C 14 81 94 4D 16 80 2D 3C 14 81 }

$rh2 = { 00 E5 A0 2B 44 84 CE 78 44 84 CE 78 44 84 CE 78 1F EC CA 79 49 84 CE 78 1F EC CD 79 41 84 CE 78 1F EC CB 79 C8 84 CE 78 BC F4 CA 79 4A 84 CE 78 BC F4 CD 79 4D 84 CE 78 BC F4 CB 79 65 84 CE 78 1F EC CF 79 43 84 CE 78 44 84 CF 78 22 84 CE 78 FC F5 C7 79 42 84 CE 78 FC F5 CE 79 45 84 CE 78 FC F5 CC 79 45 84 CE 78}

$rh3 = { DA D2 21 22 9E B3 4F 71 9E B3 4F 71 9E B3 4F 71 C5 DB 4C 70 94 B3 4F 71 C5 DB 4A 70 15 B3 4F 71 C5 DB 4B 70 8C B3 4F 71 66 C3 4B 70 8C B 3 4F 71 66 C3 4C 70 8F B3 4F 71 C5 DB 49 70 9F B3 4F 71 66 C3 4A 70 B0 B3 4F 71 C5 DB 4E 70 97 B3 4F 71 9E B3 4E 71 F9 B3 4F 71 26 C2 46 7 0 9F B3 4F 71 26 C2 B0 71 9F B3 4F 71 9E B3 D8 71 9F B3 4F 71 26 C2 4D 70 9F B3 4F 71 }

$rh4 = { CB 8A 35 66 8F EB 5B 35 8F EB 5B 35 8F EB 5B 35 D4 83 5F 34 85 EB 5B 35 D4 83 58 34 8A EB 5B 35 D4 83 5E 34 09 EB 5B 35 77 9B 5E 34 92 EB 5B 35 77 9B 5F 34 81 EB 5B 35 77 9B 58 34 86 EB 5B 35 D4 83 5A 34 8C EB 5B 35 8F EB 5A 35 D3 EB 5B 35 37 9A 52 34 8C EB 5B 35 37 9A 58 34 8E EB 5B 35 37 9A 5B 34 8E EB 5B 35 37 9A 59 34 8E EB 5B 35 }

状態：

uint16(0) == 0x5A4D および uint32(uint32(0x3C)) == 0x00004550 および ($rh*) の 1

}

ルール M_Hunting_VEILEDSIGNAL_2

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5="404b09def6054a281b41d309d809a428"

文字列:

$sb1 = { C1 E0 05 4D 8? [2] 33 D0 45 69 C0 7D 50 BF 12 8B C2 41 FF C2 C1 E8 07 33 D0 8B C2 C1 E0 16 41 81 C0 87 D6 12 00 }

$si1 = "CryptBinaryToStringA" フルワード

$si2 = "BCryptGenerateSymmetricKey" フルワード

$si3 = "スレッドの作成" フルワード

$ss1 = "ChainingModeGCM" 幅

$ss2 = "__hold" フルワード

状態：

(uint16(0) == 0x5A4D) および (uint32(uint32(0x3C)) == 0x00004550) および (uint16(uint32(0x3C)+0x18) == 0x020B) およびそれらすべて

}

ルール M_Hunting_VEILEDSIGNAL_3

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5 = "c6441c961dcad0fe127514a918eaabd4"

文字列:

$ss1 = { 61 70 70 6C 69 63 61 74 69 6F 6E 2F 6A 73 6F 6E 2C 20 74 65 78 74 2F 6A 61 76 61 73 63 72 69 70 74 2C 20 2A 2F 2A 3 B 20 71 3D 30 2E 30 31 00 00 61 63 63 65 70 74 00 00 65 6E 2D 55 53 2C 65 6E 3B 71 3D 30 2E 39 00 00 61 63 63 65 70 74 2D 6C 61 6E 67 75 61 6 7 6 5 00 63 6F 6F 6B 69 65 00 00 }

$si1 = "HttpSendRequestW" フルワード

$si2 = "CreateNamedPipeW" フルワード

$si3 = "スレッドの作成" フルワード

$se1 = "DllGetClassObject" フルワード

状態：

(uint16(0) == 0x5A4D) および (uint32(uint32(0x3C)) == 0x00004550) および (uint16(uint32(0x3C)+0x18) == 0x020B) およびそれらすべて

}

ルール M_Hunting_VEILEDSIGNAL_4

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5 = "404b09def6054a281b41d309d809a428、c6441c961dcad0fe127514a918eaabd4"

文字列:

$sb1 = { FF 15 FC 76 01 00 8B F0 85 C0 74 ?? 8D 50 01 [6-16] FF 15 [4] 48 8B D8 48 85 C0 74 ?? 89 ?? 24 28 44 8B CD 4C 8B C? 48 89 44 24 20 }

$sb2 = { 33 D2 33 C9 FF 15 [4] 4C 8B CB 4C 89 74 24 28 4C 8D 05 [2] FF FF 44 89 74 24 20 33 D2 33 C9 FF 15 }

$si1 = "スレッドの作成" フルワード

$si2 = "MultiByteTowideChar" フルワード

$si3 = "LocalAlloc" フルワード

$se1 = "DllGetClassObject" フルワード

状態：

(uint16(0) == 0x5A4D) および (uint32(uint32(0x3C)) == 0x00004550) および (uint16(uint32(0x3C)+0x18) == 0x020B) およびそれらすべて

}

ルール M_Hunting_VEILEDSIGNAL_5

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5="6727284586ecf528240be21bb6e97f88"

文字列:

$sb1 = { 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D 15 [4] 48 8D 4C 24 4C E8 [4] 85 C0 74 ?? 48 8D [3] 48 8B CB FF 15 [4] EB }

$ss1 = "chrome.exe" 幅のフルワード

$ss2 = "firefox.exe" 幅のフルワード

$ss3 = "msedge.exe" 幅のフルワード

$ss4 = "\\\\.\\pipe\\*" ascii フルワード

$ss5 = "FindFirstFileA" ASCII フルワード

$ss6 = "Process32FirstW" ascii フルワード

$ss7 = "RtlAdjustPrivilege" ascii フルワード

$ss8 = "GetCurrentProcess" ascii フルワード

$ss9 = "NtWaitForSingleObject" ASCII フルワード

状態：

(uint16(0) == 0x5A4D) および (uint32(uint32(0x3C)) == 0x00004550) および (uint16(uint32(0x3C)+0x18) == 0x020B) およびそれらすべて

}

ルール M_Hunting_VEILEDSIGNAL_6

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5="00a43d64f9b5187a1e1f922b99b09b77"

文字列:

$ss1 = "C:\\Programdata\\" 幅

$ss2 = "devobj.dll" ワイドフルワード

$ss3 = "msvcr100.dll" 幅のフルワード

$ss4 = "TpmVscMgrSvr.exe" 幅のフルワード

$ss5 = "\\Microsoft\\Windows\\TPM" 幅のフルワード

$ss6 = "CreateFileW" ascii フルワード

状態：

(uint16(0) == 0x5A4D) および (uint32(uint32(0x3C)) == 0x00004550) および (uint16(uint32(0x3C)+0x18) == 0x010B) およびそれらすべて

}

rules MTI_Hunting_POOLRAT { meta: author = "Mandiant" disclaimer = "このルールはハンティングを目的としており、運用環境での実行はテストされていません" description = "POOLRAT で見つかった文字列を検出します。" md5 = "451c23709ecd5a8461ad060f6346930c" date = "10/ 28/2020" バージョン = "1" 文字列: $str1 = "name=\"uid\"%s%s%u%s" ワイド ASCII $str2 = "name=\"session\"%s%s%u %s" ワイド ASCII $str3 = "name=\"アクション\"%s%s%s%s" ワイド ASCII $str4 = "name=\"トークン\"%s%s%u%s" ワイド ASCII $境界 = "--N9dLfqxHNUUw8qaUPqggVTpX-" ワイド ASCII nocase 条件: ($str*) または $boundary のいずれか}

ルール M_Hunting_FASTREVERSEPROXY

{

メタ:

著者＝「マンディアント」

disclaimer = 「このルールはハンティングを目的としており、運用環境での実行はテストされていません」

md5="19dbffec4e359a198daf4ffca1ab9165"

文字列:

$ss1 = "ビルド ID:" フルワード

$ss2 = "Go buildinf:" フルワード

$ss3 = "net/http/httputil.(*ReverseProxy)"。 アスキー

$ss4 = "github.com/fatedier/frp/client" ascii

$ss5 = "\"サーバーポート\"" ascii

$ss6 = "github.com/armon/go-socks5.proxy" ascii

状態：

uint16(0) == 0x5A4D および uint32(uint32(0x3C)) == 0x00004550 およびそれらすべて

}

アラート tcp any any -> any any (msg:"悪意のある 3CXDesktopApp の可能性が特定されました"; content:"raw.githubusercontent.com/IconStorages/images/main/"; しきい値:type limit、track by_src、count 1、秒 3600; sid : 99999999;)

アラート tcp any any -> any any (msg:"悪意のある 3CXDesktopApp の可能性が特定されました"; content:"3cx_auth_id=%s\;3cx_auth_token_content=%s\;__tutma=true"; しきい値:type limit、track by_src、count 1、秒3600; sid: 99999999;)

アラート tcp any any -> any any (msg:"悪意のある 3CXDesktopApp の可能性が特定されました"; content:"__tutma"; しきい値:タイプ制限、track by_src、カウント 1、秒 3600; sid: 99999999;)

アラート tcp any any -> any any (msg:"悪意のある 3CXDesktopApp の可能性が特定されました"; content:"__tutmc"; しきい値:タイプ制限、track by_src、カウント 1、秒 3600; sid: 99999999;)

組織は、Mandiant Security Validation で次のアクションを使用してセキュリティ制御を検証できます。

で

名前

A106-319

コマンドとコントロール - UNC4736、DNS クエリ、バリアント #1

A106-321

コマンド アンド コントロール - UNC4736、DNS クエリ、バリアント #2

A106-323

コマンドとコントロール - UNC4736、DNS クエリ、バリアント #3

A106-324

ホスト CLI - UNC4736、3CX 実行キー、レジストリの変更

A106-322

悪意のあるファイル転送 - UNC4736、SUDDENICON、ダウンロード、バリアント #1

S100-272

評価: UNC4736 3CX 電話管理システムを標的としたサプライ チェーン攻撃の実行

RSSフィードへのリンク

Mandiant の専門家があなたの質問にお答えします。