フォローする
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Seqriteは、武器化されたLNKショートカットと悪意のあるBATローダーを組み合わせたスピアフィッシング作戦を特定しました。実行されると、ローダーはGitHubリポジトリからRustベースのリモートアクセス型トロイの木馬を引き込み、アンチ分析チェックを実施し、堅牢なコマンド&コントロールチャンネルを確立します。この活動は、アルゼンチンの司法組織や関連する政府機関を標的としていると評価されています。実行の可能性を高めるために、攻撃者は配布パッケージに正当なPDFデコイコンテンツを含めています。
調査
アナリストは、LNK、BAT、およびPDFファイルを含むZIPアーカイブを調査し、BATローダーをトリガーするために使用されるPowerShellコマンドシーケンスを再構築しました。RATの機能をプロファイリングし、アンチVM/アンチサンドボックスチェック、ホストの偵察とシステムのフィンガープリンティング、永続化のセットアップ、C2を介した暗号化されたタスク指令を含めました。観察された挙動は関連するMITRE ATT&CK技術にマッピングされ、偽装、PowerShell実行ポリシーのバイパス、およびプライマリーチャンネルが失敗した場合の二次/代替C2ロジックなどの顕著なパターンが含まれました。
軽減策
ユーザーが書き込み可能な場所や圧縮アーカイブからのショートカット(LNK)実行に対する厳格な統治を適用し、中央ログ記録で強化されたPowerShell実行ポリシーを施行します。許可されていないGitHubリポジトリへのアウトバウンドアクセスを制限またはプロキシし、スクリプトインタープリターからの疑わしいダウンロードおよび実行パターンを警告します。実行が成功した際の影響半径を減少させるため、ユーザーが最小特権でPDFを操作することを確保し、通常でないまたは新たに観測された名前でのRunレジストリキーまたはスケジュールのタスクによる永続化を監視します。可能な場合は共通のアンチ分析動作を表面化する検出を展開し、ログアウトに関連するタスクがないことを確認します。
対応
武器化されたLNKが作成または実行されたとき、そして関連するPowerShell呼び出しチェーンが観測されたときに警告をトリガーします。ドロップされたmsedge_proxy.exeアーティファクトとレジストリまたはタスクスケジューラにリンクされた永続化エントリを積極的に検索し、影響を受けたエンドポイントを分離し、悪意のあるプロセスツリーを終了させ、作成されたスケジュールタスクとRunキーの値を削除します。完全な法医学的レビューを完了し、スコープを検証し、データがステージングまたは抽出されていたかどうかを確認し、同じZIP/LNK配信パターンにさらされた追加のホストを特定します。
“graph TB %% Class definitions classDef action fill:#99ccff classDef artifact fill:#cccccc classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nodes artifact_email_zip[“<b>アーティファクト</b> – 不正なメールZIP<br/><b>内容</b>: LNKファイルとデコイPDFを含む。”] class artifact_email_zip artifact artifact_lnk[“<b>アーティファクト</b> – LNKファイル (info/juicio-grunt-posting.pdf.lnk)<br/><b>技術</b>: T1027.012 アイコンの密輸”] class artifact_lnk artifact attack_initial_access[“<b>アクション</b> – T1566.001 スピアフィッシング添付ファイル<br/><b>説明</b>: メールを介して不正なZIPを配信。”] class attack_initial_access action attack_user_execution[“<b>アクション</b> – T1204.002 不正ファイル実行<br/><b>説明</b>: PDFに見せかけたLNKをクリックするユーザー。”] class attack_user_execution action defense_evasion_icon[“<b>アクション</b> – T1027.012 LNKアイコンの密輸<br/><b>説明</b>: LNKがPDFアイコンを使用して自身を隠す。”] class defense_evasion_icon action execution_powershell[“<b>アクション</b> – T1059.001 PowerShell & T1059.003 Windowsコマンドシェル<br/><b>説明</b>: LNKがバイパスを持つPowerShellを起動し隠しウィンドウでBATローダーを実行。”] class execution_powershell action defense_evasion_obfusc[“<b>アクション</b> – T1027 難読化/エンコードされたコマンド<br/><b>説明</b>: PowerShellコマンドとC2メッセージがBase64u2011エンコード。”] class defense_evasion_obfusc action artifact_bat[“<b>アーティファクト</b> – health-check.bat<br/><b>目的</b>: msedge_proxy.exeをダウンロードして保存。”] class artifact_bat artifact malware_rust_rat[“<b>マルウェア</b> – msedge_proxy.exe (Rust RAT)<br/><b>技術</b>: T1497.001 仮想化/サンドボックス回避, T1622 デバッガー回避, T1547.001 レジストリによる実行, T1053.005 スケジュールされたタスク”] class malware_rust_rat malware defense_evasion_sandbox[“<b>アクション</b> – T1497.001 仮想化/サンドボックス回避 & T1622 デバッガー回避<br/><b>説明</b>: レジストリ、ドライバ、MACプレフィックス、サンドボックスフォルダ、IsDebuggerPresentをチェック。”] class defense_evasion_sandbox action persistence_registry[“<b>アクション</b> – T1547.001 レジストリによる実行/スタートアップフォルダ<br/><b>説明</b>: 永続性のためにHKCUの実行エントリを作成。”] class persistence_registry action persistence_task[“<b>アクション</b> – T1053.005 スケジュールされたタスク<br/><b>説明</b>: 遅延実行を伴うschtasksによるスケジュールされたタスクを登録。”] class persistence_task action discovery_system[“<b>アクション</b> – T1082 システム情報の発見<br/><b>説明</b>: ホスト名、ユーザー名、OSバージョン、権限レベルを収集。”] class discovery_system action discovery_process[“<b>アクション</b> – T1057 プロセスの発見<br/><b>説明</b>: タスクリストを実行して分析ツールとVMプロセスを検出。”] class discovery_process action collection_local[“<b>アクション</b> – T1005 ローカルシステムからのデータ<br/><b>説明</b>: ファイルを収集し、外部に持ち出すために準備。”] class collection_local action c2_app_layer[“<b>アクション</b> – T1071 アプリケーション層プロトコル & T1573 暗号化チャネル<br/><b>説明</b>: 暗号化されたペイロードを使用してC2サーバーとHTTP(S)で通信。”] class c2_app_layer action c2_encoding[“<b>アクション</b> – T1132.001 データエンコード (Base64)<br/><b>説明</b>: すべてのC2コマンドがBase64u2011エンコード。”] class c2_encoding action exfiltration[“<b>アクション</b> – T1041 C2チャネルを介したデータ持ち出し<br/><b>説明</b>: 収集したデータを同じC2チャネル経由で送信。”] class exfiltration action %% Flow connections artifact_email_zip u002du002d>|含む| artifact_lnk artifact_email_zip u002du002d>|配信| attack_initial_access attack_initial_access u002du002d>|発生させる| attack_user_execution attack_user_execution u002du002d>|引き起こす| defense_evasion_icon defense_evasion_icon u002du002d>|誘導する| execution_powershell execution_powershell u002du002d>|実行| artifact_bat artifact_bat u002du002d>|ダウンロード| malware_rust_rat malware_rust_rat u002du002d>|実行する| defense_evasion_sandbox defense_evasion_sandbox u002du002d>|確立する| persistence_registry persistence_registry u002du002d>|追加する| persistence_task persistence_task u002du002d>|可能にする| discovery_system discovery_system u002du002d>|供給する| discovery_process discovery_process u002du002d>|収集する| collection_local collection_local u002du002d>|送信する| c2_app_layer c2_app_layer u002du002d>|使用する| c2_encoding c2_encoding u002du002d>|輸送する| exfiltration %% Apply classes class artifact_email_zip,artifact_lnk,artifact_bat artifact class attack_initial_access,attack_user_execution,defense_evasion_icon,execution_powershell,defense_evasion_obfusc,defense_evasion_sandbox,persistence_registry,persistence_task,discovery_system,discovery_process,collection_local,c2_app_layer,c2_encoding,exfiltration action class malware_rust_rat malware “
アタックフロー
検出
Microsoft Edge Named Binary がプログラムファイル外で実行されました(cmdline経由)
表示
仮想化ドライバーのアーティファクトによる疑わしいアンチVMチェック(cmdline経由)
表示
Windows バイナリがGithubからダウンロードされました(プロキシ経由)
表示
可能なシステム列挙(cmdline経由)
表示
IOC(SourceIP)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
IOC(DestinationIP)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
IOC(HashMd5)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
武器化されたLNKベースのスピアフィッシングとPowerShell実行【Windows Powershell】
表示
msedge_proxy.exe 実行の検出【Windows プロセス作成】
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが合格していること。
理由: このセクションでは、対戦相手の技術(TTP)をトリガーするために設計された検出ルールの正確な実行を詳細に説明します。コマンドと記述はTTPに直接反映され、検出論理により期待された正確なテレメトリを生成することを目指す必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃の概要とコマンド:
-
初期妥協: 攻撃者は、武器化されたスピアフィッシングメールを送信します。
.lnkショートカットは、司法の従業員を標的としています。ショートカットは、PowerShellコマンドを指しており、実行ポリシーバイパスと非表示ウィンドウで実行され、疑惑を避けます。 -
実行フロー: ユーザーがショートカットをクリックすると、Windowsが次のコマンドを実行し、
health-check.batを起動します。バッチファイルには、実際の悪意のあるペイロード(例: RATを取得するPowerShellダウンローダー)が含まれています。powershell.exe -ep bypass -w hidden -f health-check.bat -
ペイロード配信:
health-check.batは悪意あるC2への静かなHTTP GETを実行し、ペイロードを書き込んで%TEMP%に保存し、実行します。
-
-
回帰テストスクリプト: 以下のスクリプトは、正確なテレメトリを再現するために
health-check.bat無害なコンテンツを使用して(テストを安全に保つために)作成し、その後にPowerShellコマンドを呼び出します。# ------------------------------------------------- # シミュレーションスクリプト – 武器化されたLNK PowerShell 実行 # ------------------------------------------------- # 1. ダミーのhealth-check.batを作成する(テスト用に安全) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. 正確なフラグとスクリプト名でPowerShellを実行する $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. ログが生成されることを保証するために数秒待つ Start-Sleep -Seconds 5 # ------------------------------------------------- -
クリーンアップコマンド: テストバッチファイルと残っている可能性のあるプロセスを削除する。
# ダミーのhealth-check.batをクリーンアップする Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # テストから残留した可能性のあるPowerShellインスタンスがないことを確認する Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force