Cato CTRL 脅威調査:Foxveil – 新たなマルウェアローダがCloudflare、Discord、Netlifyをステージングインフラとして悪用
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Foxveilは2025年8月に初めて確認された、新たに識別された初期段階のマルウェアローダーです。これは“信頼された”ホスティング面(Cloudflare Pages、Netlify、Discordの添付ファイル)からDonutで生成されたシェルコードを取り込み、プロセスインジェクション技術を用いて実行します。持続性を保つために、ローダーはWindowsサービスを登録するか、Microsoft Defenderの設定を改ざんしようとします。観察された変異体では、主要な違いは、ステージングソース、インジェクションアプローチ、および持続性手法です。
調査
Catoの研究者はFoxveilの2つの変異体を分析し、シェルコードの取得、Early Bird APC(または直接の自己インジェクション)を通じた注入、AarSvcという名のサービスを通じた持続性というエンドツーエンドの流れを文書化しました。ドロップされた成果物は、C:WindowsSysWOW64の下で、正当なコンポーネントと馴染む名前で観察されました。ローダーはまた、静的検出を減らすために高信号用語を書き換えるストリング変異ロジックを含んでいます。ネットワークテレメトリーは、複数のCloudflareおよびNetlifyドメインへの接続を示し、時折、Discord添付ファイルURLからの取得が見られました。
緩和策
Cato SASEプラットフォームは、ダウンロード行動と疑わしいプロセス作成パターンを調査することで、ペイロード実行前にローダーをブロックしました。リスクを減らすには、既知のステージングドメインをブロックし、Foxveilのトレードクラフトに関連するインジェクション関連の行動について警報を発するようにします。信頼されていないスクリプトの実行を無効にし、Windows Defenderの除外設定に対するポリシーを強化して持続性の試行を制限します。誤検知を最小限にしつつカバレッジを保つために、正当なクラウドサービスの許可リストルールを最新の状態に保ちます。
対応策
Foxveilの活動が検出された場合、エンドポイントを分離し、悪意のあるプロセスを終了し、登録されたサービス(AarSvcを含む)を削除します。C:WindowsSysWOW64のフォレンジックレビューを実施し、ドロップされた実行ファイルのハッシュを収集して範囲を特定します。特定されたステージングドメインへのネットワークログを軸にし、それらをDNS/プロキシ層でブロックします。Early Bird APCインジェクションおよび自己インジェクションパターンの検出を展開し、影響を受けたホストを特定します。
攻撃フロー
検出
異常なシステムプロセスチェーン (via process_creation)
表示
可能なデータ侵入/漏えい/C2をサードパーティのサービス/ツール経由で (via proxy)
表示
疑わしいSvchostプロセス (via process_creation)
表示
WMICを介したDefender除外修正の疑わしい活動 (via cmdline)
表示
可能なデータ侵入/漏えい/C2をサードパーティのサービス/ツール経由で (via dns)
表示
検出用IOCs (HashSha256): Cato CTRLTM 脅威研究: Foxveil – Cloudflare、Discord、Netlifyをステージングインフラストラクチャとして悪用した新たなマルウェアローダー パート1
表示
検出用IOCs (HashSha256): Cato CTRLTM 脅威研究: Foxveil – Cloudflare、Discord、Netlifyをステージングインフラストラクチャとして悪用した新たなマルウェアローダー パート2
表示
Foxveil v1でマスカレードされたsvchost.exeプロセスインジェクション検出 [Windows プロセス生成]
表示
Foxveilマルウェアステージングドメインの検出 [Windows ネットワーク接続]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインの事前確認が合格していること。
根拠: このセクションでは、検出ルールをトリガーするように設計された敵対者の技術 (TTP) の正確な実行を詳細に説明します。コマンドや説明は、識別されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としなければなりません。
-
攻撃の説明とコマンド
-
偵察: 攻撃者はFoxveilステージングドメインを取得しました
syscore.pages.devから漏洩した認証情報のダンプ。 - ステージ1 – DNS解決: ネイティブWindowsツールを使用して、攻撃者はステージングドメインを解決し、悪意のあるペイロードホストのIPアドレスを取得します。このステップは実際のマルウェアの振る舞いを反映し、観測可能なトリガーです。
- ステージ2 – ペイロード取得 (テストでは実行しない): 実際の攻撃では、解決されたIPを使用してHTTP経由で第2段階のペイロードをダウンロードします。検出の検証の目的のためには、DNS解決のみが必要です。
-
偵察: 攻撃者はFoxveilステージングドメインを取得しました
-
回帰テストスクリプト
<# Foxveilステージングドメイン解決をシミュレートします。 このスクリプトは、既知のFoxveilドメインに対してDNSクエリを実行し、 Sigmaルールが監視する正確なテレメトリーを生成します。 #> # ステージングドメインを定義する(ルールのホワイトリストから選択) $stagingDomain = "syscore.pages.dev" # ドメインを解決する – これにより、DNSクエリイベントが生成されます try { $result = Resolve-DnsName -Name $stagingDomain -Type A -ErrorAction Stop Write-Host "Resolved $stagingDomain to $($result.IPAddress)" } catch { Write-Error "DNS resolution failed: $_" } # オプション: ログパイプラインがイベントを処理するのを確認するために一時停止 Start-Sleep -Seconds 5 -
クリーンアップコマンド
# 解決済みエントリを削除するためにDNSキャッシュをフラッシュする(後続のテストへのキャッシュ効果を防ぐため) ipconfig /flushdns Write-Host "DNS cache flushed."