フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートは2段階の感染チェーンの概要を示しています。最初にLumma Stealerがパスワードで保護された7-Zipアーカイブを通じて配信され、その後、Sectop RAT (ArechClient2) DLLが後の段階でロードされます。最初のペイロードは、ヌルバイトでパディングされた膨れたWindows実行ファイルとして到着します。これはおそらく検出を回避し、分析を複雑にするための戦術と考えられます。マルウェアは、正当なサービスを模倣する侵害されたダウンロードページを通じて配信され、ユーザーが実行する可能性を高めます。ネットワークテレメトリは、活動が複数の悪意のあるドメインとコマンド・アンド・コントロール通信に使用された既知のIPアドレスに関連していることを示しました。
調査
アナリストは悪意のあるアーカイブを入手し、サイズが肥大化した実行ファイルを抽出し、圧縮解除後の縮小された形を調べました。サンドボックス分析は、Lumma Stealerに関連するいくつかのコマンド・アンド・コントロールドメインを明らかにし、さらに rundll32を通じてSectop RATをロードする別のDLLコンポーネントを明らかにしました。ネットワークキャプチャは、HTTPトラフィックがポート9000と443を介して悪意のあるIPアドレスに向かっていることを示し、交換されたデータがエンコードされているように見えました。
緩和策
組織は増大した実行ファイルとパスワードで保護されたアーカイブを識別できるコンテンツ検査ツールを使用するべきです。このキャンペーンに関連する既知の悪意のあるドメインとIPアドレスはネットワークレイヤーでブロックされるべきです。また、防御者は疑わしい rundll32 DLLが関与する活動を監視し、特定されたコマンド・アンド・コントロールインフラへのアウトバウンド接続を追跡する必要があります。強力なダウンロード制御と信頼できないソフトウェアをホストするファイル共有サイトの制限は、さらに露出を減らすことができます。
対応
セキュリティチームは、疑わしいURLからパスワード保護された7-Zipアーカイブがダウンロードされたときにアラートを出すべきです。さらにの検出は、通常とは異なる大きなパディングされた実行ファイルの実行に焦点を置くべきであり、 rundll32 一時的またはユーザーがアクセス可能なディレクトリからDLLを起動します。ネットワークテレメトリは、列挙されたドメインとIPアドレスに対して関連付けられるべきであり、影響を受けたシステムは直ちに隔離され、調査と修正が行われるべきです。
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["<b>技術</b> – <b>T1659 コンテンツ注入</b><br/>悪意のあるリソースを注入するためにウェブサイトを妥協する。"] class technique_content_injection technique tool_lumma_stealer["<b>ツール</b> – <b>名前</b>: Lumma Stealer<br/><b>機能</b>: 保存されたパスワードと資格情報マネージャーのエントリーを収集します。"] class tool_lumma_stealer tool technique_obfuscation_files["<b>技術</b> – <b>T1027 難読化されたファイルまたは情報</b><br/>ペイロードをエンコードまたは暗号化して悪意のあるコンテンツを隠す。"] class technique_obfuscation_files technique technique_compression["<b>技術</b> – <b>T1027.015 ユーティリティによるアーカイブ</b><br/>ペイロードを隠すためにパスワードで保護された7-zipアーカイブを使用します。"] class technique_compression technique technique_credential_store["<b>技術</b> – <b>T1555 パスワード保存からの資格情報</b><br/>ブラウザ、アプリ、またはOSストアに保存された資格情報を抽出します。"] class technique_credential_store technique technique_credential_manager["<b>技術</b> – <b>T1555.004 Windows資格情報マネージャー</b><br/>Windows資格情報マネージャーに保存された資格情報をダンプします。"] class technique_credential_manager technique technique_unsecured_file["<b>技術</b> – <b>T1552.001 ファイル内の安全ではない資格情報</b><br/>プレーンテキストファイルに残された資格情報データを読み取ります。"] class technique_unsecured_file technique technique_rundll32_proxy["<b>技術</b> – <b>T1218.011 Rundll32</b><br/>LoadFormエントリポイントを使用してrundll32.exe経由でDLLコードを実行します。"] class technique_rundll32_proxy technique technique_appcert_dll["<b>技術</b> – <b>T1546.009 AppCert DLL</b><br/>アプリケーション認証メカニズムを通じてDLLのロードをトリガーします。"] class technique_appcert_dll technique malware_netgui_dll["<b>マルウェア</b> – <b>名前</b>: NetGui.dll<br/><b>役割</b>: rundll32によってロードされるドロップされたDLL。"] class malware_netgui_dll malware technique_web_protocol["<b>技術</b> – <b>T1071.001 ウェブプロトコル</b><br/>コマンドと制御トラフィック用にHTTP/HTTPSを使用します。"] class technique_web_protocol technique technique_bidirectional["<b>技術</b> – <b>T1102.002 双方向ウェブサービス</b><br/>ウェブサービスチャネルを介してコマンドとデータを交換します。"] class technique_bidirectional technique technique_encrypted_channel["<b>技術</b> – <b>T1573 暗号化チャネル</b><br/>検出を回避するためにC2トラフィックを暗号化します。"] class technique_encrypted_channel technique technique_protocol_tunneling["<b>技術</b> – <b>T1572 プロトコルトンネリング</b><br/>正当なプロトコル内に悪意のあるトラフィックをカプセル化します。"] class technique_protocol_tunneling technique technique_data_obfuscation["<b>技術</b> – <b>T1001 データ難読化</b><br/>ペイロードデータを難読化してその目的を隠します。"] class technique_data_obfuscation technique %% Connections technique_content_injection –>|uses| tool_lumma_stealer tool_lumma_stealer –>|delivers| technique_obfuscation_files technique_obfuscation_files –>|includes| technique_compression technique_compression –>|leads to| technique_credential_store technique_credential_store –>|also uses| technique_credential_manager technique_credential_manager –>|and| technique_unsecured_file technique_unsecured_file –>|enables| technique_rundll32_proxy technique_rundll32_proxy –>|loads| malware_netgui_dll malware_netgui_dll –>|triggers| technique_appcert_dll technique_appcert_dll –>|establishes| technique_web_protocol technique_web_protocol –>|uses| technique_bidirectional technique_bidirectional –>|protected by| technique_encrypted_channel technique_encrypted_channel –>|further hidden via| technique_protocol_tunneling technique_protocol_tunneling –>|uses| technique_data_obfuscation "
攻撃フロー
検出
持続性の可能性があるポイント [ASEPs – ソフトウェア/NTUSER Hive] (via registry_event)
表示
Rundll32のDLL疑わしいパス実行 (via process_creation)
表示
疑わしいスケジュールされたタスク (via audit)
表示
疑わしいコマンドとコントロールによる異常なトップレベルドメイン(TLD)DNSリクエスト (via dns)
表示
検出するためのIOC (HashSha256): Lumma Stealer感染とSectop RAT (ArechClient2)
表示
検出するためのIOC (SourceIP): Lumma Stealer感染とSectop RAT (ArechClient2)
表示
検出するためのIOC (DestinationIP): Lumma Stealer感染とSectop RAT (ArechClient2)
表示
Sectop RATのコマンドとコントロールトラフィックの検出 [Windowsネットワーク接続]
表示
Lumma StealerとSectop RAT (ArechClient2)感染検出 [Windowsファイルイベント]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインのプリフライトチェックが合格していること。
-
攻撃シナリオとコマンド:
シミュレートされた攻撃者は、まず侵害されたダウンロードサイトからLumma Stealerアーカイブ(adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z)を取得します。アーカイブはユーザーのDownloadsフォルダにドロップされ、次に展開され、悪意のあるDLL16XBPQ29ZBG94TYNOA.dllがユーザーのTempディレクトリに書き込まれます。このDLLの存在が、Sigmaルールが監視する正確なインジケーターであり、資格情報を収集し、続くSectop RAT感染のためのペイロード段階を表します。 -
回帰テストスクリプト:
# Lumma StealerのドロップとDLLインジェクションをシミュレート $archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" $downloadDir = "$env:USERPROFILEDownloads" $tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" # ステップ1: ダミーのアーカイブファイルを作成(ダウンロードをシミュレート) New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null # ステップ2: 展開をシミュレート - Tempフォルダに悪意のあるDLLを作成 New-Item -Path $tempDllPath -ItemType File -Force | Out-Null Write-Host "シミュレーション完了: $archiveNameが作成され、DLLがTempにドロップされました。" -
クリーンアップコマンド:
# シミュレートされたアーティファクトを削除 Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップ完了。"