フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Telegramの中国語パックを装った不正なMSIインストーラは、ValleyRAT、BYOVDベースのカーネルルートキット、およびDLLサイドローディングに悪用された署名されたByteDance実行ファイルを含む多層感染チェーンを届けます。このインストーラはまた、ZPAQFranzアーカイブユーティリティを正当なlandバイナリとして悪用し、物理メモリにアクセスするために脆弱なwnBiosドライバーを展開します。研究者は、香港のCTG Server Ltdに関連する作業基盤を運用者として明らかにし、活動をSilver Fox APTグループに帰属しました。このキャンペーンは、アジア太平洋地域の複数国の中国語話者を対象としているようです。
調査
研究者は、MSIカスタムアクションから始まり、ZPAQアーカイブの抽出、DLLサイドローディングにByteDanceのSodaMusicLauncherバイナリの選択的使用、wnBiosカーネルドライバーの展開に続く攻撃の完全な流れを再構築しました。埋め込まれた構成データの分析により、運用者の識別子とC2の詳細が明らかになりました。支援インフラは、以前Silver Foxと関連していたバレットプルーフホスティングに結びつけられました。調査チームはまた、永続手法や侵入チェーン中に使用されるアンチウイルス対応の回避ロジックも明らかにしました。
緩和策
承認されたバックアップまたは開発環境以外でzpaqfranzバイナリの実行を防止し、VBScriptカスタムアクションに依存するMSIインストールを厳しく監視します。AppShellElevationServiceの生成を制限し、信頼された署名付きバイナリの横に配置された署名されていないDLLを検出します。CTG Server Ltdが運用する特定の/21ネットワーク範囲へのアウトバウンド通信をブロックし、カスタムC2ポート5040を介したトラフィックを拒否します。このキャンペーンに見られた悪意あるファイル名およびプロセス名に対するホストベースの保護を強化します。
対応
特定されたファイル、生成されたプロセス、および不審なサービス作成イベントの検出を展開します。脆弱なカーネルドライバとマルウェアの特徴的なXORベースの復号ロジックのハンティングを実行します。感染の被害を受ける可能性のあるシステムを隔離し、根幹の調査のためにメモリイメージを収集し、侵入中に露出した任意のクレデンシャルをリセットします。脅威インテリジェンスチームはCTG Serverのインフラを継続的に追跡し、関連する活動を監視する必要があります。
graph TB classDef technique fill:#ffcc99 classDef tool fill:#c2e0ff classDef malware fill:#ffd9b3 classDef process fill:#d9ffcc initial_access[“<b>テクニック</b> – <b>T1204.004 ユーザー実行: 悪意あるコピー&ペースト</b><br/>偽のTelegram中国語パックMSIを実行”] class initial_access technique system_binary_proxy[“<b>テクニック</b> – Msiexecによるシステムバイナリ実行”] class system_binary_proxy technique vbscript_interpreter[“<b>テクニック</b> – Visual Basicスクリプト実行”] class vbscript_interpreter technique obfuscation[“<b>テクニック</b> – 難読化されたファイル”] class obfuscation technique lolbin_zpaqfranz[“<b>ツール</b> – zpaqfranz.exe”] class lolbin_zpaqfranz tool powershell_xor[“<b>テクニック</b> – PowerShell XOR復号”] class powershell_xor technique dll_sideloading[“DLLサイドローディング”] class dll_sideloading technique signed_launcher[“プロセス – SodaMusicLauncher.exe”] class signed_launcher process windows_service[“Windowsサービスによる永続化”] class windows_service technique priv_esc_driver[“権限昇格(BYOVD)”] class priv_esc_driver technique rootkit_bootkit[“ルートキット / ブートキット”] class rootkit_bootkit technique scheduled_task[“スケジュールタスク”] class scheduled_task technique c2_valleyrat[“マルウェア: ValleyRAT”] class c2_valleyrat malware c2_nonstandard_port[“非標準ポートC2”] class c2_nonstandard_port technique c2_dynamic_resolution[“動的C2解決”] class c2_dynamic_resolution technique initial_access –> system_binary_proxy system_binary_proxy –> vbscript_interpreter vbscript_interpreter –> obfuscation obfuscation –> lolbin_zpaqfranz obfuscation –> powershell_xor powershell_xor –> dll_sideloading dll_sideloading –> signed_launcher signed_launcher –> windows_service windows_service –> priv_esc_driver priv_esc_driver –> rootkit_bootkit rootkit_bootkit –> scheduled_task scheduled_task –> c2_valleyrat c2_valleyrat –> c2_nonstandard_port c2_valleyrat –> c2_dynamic_resolution
攻撃フロー
検出
PowerShellでの可能性のある難読化の指標(powershell経由)
表示
PowerShell CommandLineからの疑わしい.NETクラス/メソッドの呼び出し(process_creation経由)
表示
疑わしいコマンド&コントロールによる異常なトップレベルドメイン(TLD)DNSリクエスト(dns経由)
表示
DNS経由で試みられた可能性のあるIPルックアップドメイン通信
表示
PowerShellからの疑わしい.NETメソッドの呼び出し(powershell経由)
表示
検出するためのIOC(HashSha256):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(HashMd5):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(DestinationIP):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(SourceIP):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
物理メモリアクセスのためのwnBiosを使用したカーネルドライバのロードイベントを検出[Windowsイメージロード]
表示
Silver Fox APTによって使用される悪意あるバイナリの実行を検出[Windowsプロセス作成]
表示
ポート5040でのValleyRAT C2通信[Windowsネットワーク接続]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの準備チェックが合格している必要があります。
理由:このセクションでは、検出ルールをトリガーするために設計されたアドバサリー技術(TTP)の正確な実行について説明します。コマンドと説明は識別されたTTPに直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のストーリーとコマンド:
脅威アクターはスピアフィッシングリンク(T1566.002)を受け取り、
zpaqfranz.exe被害者のワークステーションにドロップされます。このバイナリは、持続利用バイナリ(LOLBin:T1036)として再利用された、見た目には合法な圧縮ツールです。攻撃者はPowerShell(T1059.001)を介して隠されたコマンドラインでこれを起動し、ツールに圧縮されたValleyRATペイロード(T1027)を解凍して実行するよう指示します。このプロセスは現在のユーザーコンテキストで実行され、ルールに一致するWindowsプロセス作成イベントを生成します。Image|endswith 'zpaqfranz.exe'条件ステップバイステップ:
- 悪意のあるバイナリをステージ in
%TEMP%. - 実行 PowerShellでバイナリを実行し、ダミー引数(
-extract)を渡して、実際のペイロードを模倣します。 - 短期間だけプロセスを維持し、その後終了します。 回帰テストスクリプト:
- 悪意のあるバイナリをステージ in
-
Regression Test Script:
# Silver Fox LOLBin Execution Simulation $tempPath = "$env:TEMPzpaqfranz.exe" # 1. Copy a benign executable to masquerade as the malicious LOLBin # (In a real test you would drop the actual malicious binary.) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Execute the LOLBin via PowerShell (simulating T1059.001) $args = "-extract C:Temppayload.bin" Write-Host "Launching $tempPath $args" Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow # 3. Wait a few seconds to ensure the event is logged Start-Sleep -Seconds 5 # 4. Optional: simulate cleanup (delete the dropped binary) Remove-Item -Path $tempPath -Force -
クリーンアップコマンド:
# Remove any residual artefacts from the simulation $tempPath = "$env:TEMPzpaqfranz.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force } # Terminate stray calc.exe processes that may have been launched inadvertently Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force