フォローする 
概要
Cisco Talosは、2024年後半以来南アメリカの政府機関を標的にし、2025年を通じて東南ヨーロッパで活動しているUAT-8302として追跡される中国のAPTグループを攻撃と結び付けています。このグループはNetDraft、CloudSorcerer v3、VSHELL、SNOWLIGHT、SNOWRUST、その他のカスタムコンポーネントを含む広範なマルウェアツールキットを展開しています。その運用はまた、偵察、資格情報の窃盗、および被害者の環境での横移動を支援するために、Impacketやプロキシツール、カスタマイズされたスクリプトといったオープンソースツールにも依存しています。
調査
Talosは、このグループのマルウェア配信チェーン、持続性を維持するためのスケジュールタスクの使用、Microsoft Graphなどの信頼されたサービスの悪用によるコマンド&コントロールを文書化しました。研究者たちはまた、DLLサイドローディングローダー、偵察コマンド、ネットワークスキャンユーティリティ、およびペイロードの配信とリモートアクセス専用のインフラも観察しました。レポートは、他の中国と関連するクラスター、Jewelbug、Earth Estries、およびいくつかのUNCトラッキンググループとのツールや手法の重複も指摘しています。
軽減策
組織は、参照された脆弱性、特に以下をパッチする必要があります CVE-2025-0994, CVE-2025-20333、および CVE-2025-20362、およびコマンド&コントロールに悪用される可能性のあるOffice 365とOneDrive APIに厳しい制御を適用する必要があります。防御者はまた、既知の悪意あるドメインとIPアドレスをブロックし、不必要なサービスを無効にし、ImpacketやWMIのリモート実行ツールを可能な限り制限するべきです。監視は、キャンペーンに関連する特定されたスケジュールタスク名とDLLサイドローディングのパターンに焦点を当てるべきです。
対応策
セキュリティチームは、記載されたコンプロマイズの指標に対してアラートを発し、影響を受けたシステムを隔離し、分析のために関連するログとフォレンジックアーティファクトを収集する必要があります。資格情報は迅速にローテートされるべきであり、Active Directoryは侵害や不正アクセスの兆候がないか慎重にレビューされるべきです。また、検知コンテンツも観察されたコマンドラインやスケジュールタスクをカバーするよう更新され、防御者は環境全体で同じマルウェアファミリーからの追加のインプラントを探索するべきです。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% 初期アクセス initial_access["<b>アクション</b> – <b>T1190 公開サービスの脆弱性の悪用</b><br/><b>説明</b>: 脆弱なインターネット面サービスを悪用して初期フットホールドを獲得。"] class initial_access action vuln_app["<b>ツール</b> – <b>名前</b>: Cityworks (脆弱)<br/><b>説明</b>: 公開面アプリケーションでCVE-2025-0994を含む。"] class vuln_app tool %% 実行 – システムバイナリプロキシ exec_proxy["<b>アクション</b> – <b>T1218.002 システムバイナリプロキシ実行</b><br/><b>説明</b>: 信頼されたシステムバイナリを悪用して悪意のあるコードの実行をプロキシする。"] class exec_proxy action control_panel["<b>ツール</b> – <b>名前</b>: コントロールパネル<br/><b>説明</b>: プロキシとして使用される正当なバイナリ。"] class control_panel tool %% 実行 – 信頼された開発者ユーティリティプロキシ(MSBuild) exec_msbuild["<b>アクション</b> – <b>T1127.001 信頼された開発者ユーティリティプロキシ実行</b><br/><b>説明</b>: MSBuildを使用してサイドローディングで悪意のあるDLLをロード。"] class exec_msbuild action msbuild["<b>ツール</b> – <b>名前</b>: MSBuild<br/><b>説明</b>: プロジェクトファイルを実行するために使用されるMicrosoftビルドエンジン。"] class msbuild tool %% 実行 – 共有モジュール(DLLサイドローディング) exec_shared["<b>アクション</b> – <b>T1129 共有モジュール</b><br/><b>説明</b>: 正当な実行ファイルの隣に配置することで悪意のあるDLLをロード。"] class exec_shared action yandex_exe["<b>ツール</b> – <b>名前</b>: Yandex.exe<br/><b>説明</b>: ドロッパーとして使用される正当な実行ファイル。"] class yandex_exe tool vmtools_exe["<b>ツール</b> – <b>名前</b>: VMtools.exe<br/><b>説明</b>: サイドローディングに利用されるVMwareツールバイナリ。"] class vmtools_exe tool malware_nedraft["<b>マルウェア</b> – <b>名前</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>マルウェア</b> – <b>名前</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>マルウェア</b> – <b>名前</b>: VSHELL"] class malware_vshell malware %% 永続性 – スケジュールタスク persistence_task["<b>アクション</b> – <b>T1053 スケジュールタスク/ジョブ</b><br/><b>説明</b>: マルウェアバイナリを持続的に実行するためのスケジュールタスクを作成。"] class persistence_task action scheduled_task["<b>ツール</b> – <b>名前</b>: MicrosoftMaps{…}<br/><b>説明</b>: 永続性のために使用されるスケジュールタスク。"] class scheduled_task tool %% 防御回避 – 避けるための搾取 defev_evasion["<b>アクション</b> – <b>T1211 防御回避のための搾取</b><br/><b>説明</b>: セキュリティコントロールを回避するための脆弱性を利用。"] class defev_evasion action %% 防御回避 – 信頼制御の転覆(コード署名) defev_signing["<b>アクション</b> – <b>T1553.006 信頼制御の転覆</b><br/><b>説明</b>: 悪意あるバイナリを信頼するようコード署名ポリシーを変更。"] class defev_signing action %% 防御回避 – プレOSブート(ROMMONkit) defev_rommon["<b>アクション</b> – <b>T1542.004 プレOSブート: ROMMONkit</b><br/><b>説明</b>: ファームウェアブート中に悪意のあるドライバをインストール。"] class defev_rommon action rommon_driver["<b>ツール</b> – <b>名前</b>: Hades HIPSドライバ"] class rommon_driver tool %% 発見 – アカウントとグループ discovery_account["<b>アクション</b> – <b>T1087.002 アカウント発見: ドメインアカウント</b><br/><b>説明</b>: ドメインユーザーアカウントを列挙。"] class discovery_account action discovery_groups["<b>アクション</b> – <b>T1069.002 権限グループの発見: ドメイングループ</b><br/><b>説明</b>: ドメイングループを列挙。"] class discovery_groups action %% 発見 – ネットワーク discovery_netconn["<b>アクション</b> – <b>T1049 システムネットワーク接続の発見</b><br/><b>説明</b>: アクティブなネットワーク接続を識別。"] class discovery_netconn action discovery_remotes["<b>アクション</b> – <b>T1018 リモートシステム発見</b><br/><b>説明</b>: ネットワーク上のリモートシステムを見つける。"] class discovery_remotes action discovery_scanning["<b>アクション</b> – <b>T1595.001 アクティブスキャン: IPブロックのスキャン</b><br/><b>説明</b>: ライブホストを探してIP範囲をスキャン。"] class discovery_scanning action discovery_netconfig["<b>アクション</b> – <b>T1016.001 システムネットワーク構成の発見: インターネット接続の発見</b><br/><b>説明</b>: ネットワーク構成の詳細を収集。"] class discovery_netconfig action discovery_cloud["<b>アクション</b> – <b>T1526 クラウドサービスの発見</b><br/><b>説明</b>: クラウドサービスの使用状況を識別。"] class discovery_cloud action discovery_cfg_repo["<b>アクション</b> – <b>T1602 設定リポジトリからのデータ</b><br/><b>説明</b>: SNMP MIBを介してネットワーク機器の構成をダンプ。"] class discovery_cfg_repo action %% 横移動 – リモートサービスの搾取 lateral_wmi["<b>アクション</b> – <b>T1210 リモートサービスの搾取</b><br/><b>説明</b>: WMIやSMBを使用してリモートホストでコードを実行。"] class lateral_wmi action lateral_smb["<b>アクション</b> – <b>T1021.002 リモートサービス: SMB/Windows管理共有</b><br/><b>説明</b>: 横移動のために管理共有にアクセス。"] class lateral_smb action lateral_transfer["<b>アクション</b> – <b>T1570 ツールの横移動</b><br/><b>説明</b>: リモートシステムにツールを転送。"] class lateral_transfer action lateral_taint["<b>アクション</b> – <b>T1080 共有コンテンツを汚染</b><br/><b>説明</b>: マルウェアを広めるために共有ファイルを毒する。"] class lateral_taint action lateral_cloud["<b>アクション</b> – <b>T1021.007 リモートサービス: クラウドサービス</b><br/><b>説明</b>: 横移動のためにOneDriveやGitHubを使用。"] class lateral_cloud action lateral_rats["<b>アクション</b> – <b>T1219 リモートアクセストツール</b><br/><b>説明</b>: gogo、httpx、SNOWRUSTなどのツールを展開。"] class lateral_rats action tool_gogo["<b>ツール</b> – <b>名前</b>: gogo"] class tool_gogo tool tool_httpx["<b>ツール</b> – <b>名前</b>: httpx"] class tool_httpx tool tool_snowrust["<b>ツール</b> – <b>名前</b>: SNOWRUST"] class tool_snowrust tool %% 権限昇格 – アカウント操作 priv_esc["<b>アクション</b> – <b>T1098.007 アカウント操作: 追加のローカルまたはドメイングループ</b><br/><b>説明</b>: 侵害されたアカウントを特権グループに追加。"] class priv_esc action %% コマンド&コントロール – プロキシ (マルチホップ) c2_proxy["<b>アクション</b> – <b>T1090 プロキシ</b><br/><b>説明</b>: 内部、外部、およびマルチホップのプロキシを経由してトラフィックをルーティング。"] class c2_proxy action c2_proxy_int["<b>ツール</b> – <b>名前</b>: 内部プロキシ"] class c2_proxy_int tool c2_proxy_ext["<b>ツール</b> – <b>名前</b>: 外部プロキシ"] class c2_proxy_ext tool %% コマンド&コントロール – プロトコルトンネリング c2_tunnel["<b>アクション</b> – <b>T1572 プロトコルトンネリング</b><br/><b>説明</b>: 許可されたプロトコル内でC2トラフィックをカプセル化。"] class c2_tunnel action %% コマンド&コントロール – クラウドAPI c2_cloudapi["<b>アクション</b> – <b>T1059.009 コマンドとスクリプトインタプリタ: クラウドAPI</b><br/><b>説明</b>: OneDrive、GitHub、GameSpot APIをC2として使用。"] class c2_cloudapi action c2_onedrive["<b>ツール</b> – <b>名前</b>: OneDrive"] class c2_onedrive tool c2_github["<b>ツール</b> – <b>名前</b>: GitHub"] class c2_github tool c2_gamespot["<b>ツール</b> – <b>名前</b>: GameSpot"] class c2_gamespot tool %% コマンド&コントロール – Webプロトコル c2_web["<b>アクション</b> – <b>T1071.001 アプリケーションレイヤープロトコル: Webプロトコル</b><br/><b>説明</b>: HTTP/HTTPSで通信。"] class c2_web action %% コマンド&コントロール – マルチステージチャネル c2_multi["<b>アクション</b> – <b>T1104 マルチステージチャネル</b><br/><b>説明</b>: 複数のC2チャネルを連鎖して回復性を持たせる。"] class c2_multi action %% 情報漏洩 – Webサービス経由 exfil_web["<b>アクション</b> – <b>T1567.002 Webサービス経由の情報漏洩</b><br/><b>説明</b>: 被害データをクラウドストレージサービスにアップロード。"] class exfil_web action %% 接続 – 攻撃フロー initial_access –>|悪用| vuln_app vuln_app –>|有効化| exec_proxy exec_proxy –>|使用| control_panel exec_proxy –>|導く| exec_msbuild exec_msbuild –>|使用| msbuild exec_msbuild –>|助ける| exec_shared exec_shared –>|利用| yandex_exe exec_shared –>|利用| vmtools_exe exec_shared –>|ロード| malware_nedraft exec_shared –>|ロード| malware_cloudsorcerer exec_shared –>|ロード| malware_vshell exec_shared –>|作る| persistence_task persistence_task –>|作る| scheduled_task scheduled_task –>|維持| defev_evasion defev_evasion –>|含む| defev_signing defev_signing –>|変更| rommon_driver defev_evasion –>|含む| defev_rommon defev_rommon –>|インストール| rommon_driver %% 発見フロー scheduled_task –>|収集| discovery_account scheduled_task –>|収集| discovery_groups scheduled_task –>|収集| discovery_netconn scheduled_task –>|収集| discovery_remotes scheduled_task –>|収集| discovery_scanning scheduled_task –>|収集| discovery_netconfig scheduled_task –>|収集| discovery_cloud scheduled_task –>|収集| discovery_cfg_repo %% 横移動フロー discovery_remotes –>|有効化| lateral_wmi lateral_wmi –>|使用| lateral_smb lateral_smb –>|転送| lateral_transfer lateral_transfer –>|移動| lateral_cloud lateral_cloud –>|使用| c2_onedrive lateral_cloud –>|使用| c2_github lateral_cloud –>|使用| c2_gamespot lateral_wmi –>|実行| lateral_rats lateral_rats –>|使用| tool_gogo lateral_rats –>|使用| tool_httpx lateral_rats –>|使用| tool_snowrust %% 権限昇格フロー discovery_groups –>|支援| priv_esc %% コマンド&コントロールフロー priv_esc –>|報告| c2_proxy c2_proxy –>|ルート| c2_proxy_int c2_proxy –>|ルート| c2_proxy_ext c2_proxy –>|使用| c2_tunnel c2_tunnel –>|確立| c2_cloudapi c2_cloudapi –>|通信| c2_onedrive c2_cloudapi –>|通信| c2_github c2_cloudapi –>|通信| c2_gamespot c2_cloudapi –>|使用| c2_web c2_web –>|有効化| c2_multi c2_multi –>|配信| exfil_web %% スタイリング class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web action class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "
攻撃フロー
検知
疑わしいCURL使用(コマンドライン経由)
表示
クラウドフレア開発ドメインの悪用の可能性(DNS経由)
表示
Impacketコマンドラインパターンの可能性(コマンドライン経由)
表示
Sysinternalsツールの利用の可能性(コマンドライン経由)
表示
PowershellがBypass実行ポリシーを使用して疑わしいディレクトリでファイルを実行(コマンドライン経由)
表示
システムの列挙の可能性(コマンドライン経由)
表示
リモートシステムの発見または接続性チェックの可能性(コマンドライン経由)
表示
管理アカウントまたはグループの列挙の可能性(コマンドライン経由)
表示
疑わしいドメイン信頼の発見(コマンドライン経由)
表示
システムネットワーク構成の発見の可能性(コマンドライン経由)
表示
Schtasksが疑わしいディレクトリ/バイナリ/スクリプトを指す(コマンドライン経由)
表示
LOLBAS wmic(コマンドライン経由)
表示
データエンコーディングと証明書操作にCertutilを使用(コマンドライン経由)
表示
パブリックユーザープロファイルからの疑わしい実行(プロセス生成)
表示
データ収集の可能性【7zip】(コマンドライン経由)
表示
パブリックユーザープロファイル内の疑わしいファイル(ファイルイベント)
表示
直接IPによる疑わしいファイルダウンロード(プロキシ経由)
表示
IOCs(HashSha256)を検出: UAT-8302およびそのマルウェア満載の箱
表示
IOCs(SourceIP)を検出: UAT-8302およびそのマルウェア満載の箱
表示
IOCs(DestinationIP)を検出: UAT-8302およびそのマルウェア満載の箱
表示
UAT-8302によるスケジュールタスクとWMICプロセス作成【Windowsプロセス作成】
表示
UAT-8302のPowerShell偵察活動を検出【Windows PowerShell】
表示
シミュレーション実行
前提条件: テレメトリー&ベースラインの事前フライトチェックが合格している必要があります。
根拠: このセクションでは、検知ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックで期待される正確なテレメトリを生成することを目的としています。
-
攻撃の叙述&コマンド:
ドメイン参加のWindowsホストに足場を獲得した攻撃者は、Active Directoryとセキュリティログの迅速な偵察を行い、既知のUAT‑8302のプレイブックを模倣します。検出を避けるために、攻撃者は最初にPowerShellの記録機能を無効にし、その後、Sigmaルールで捕捉される3つの正確なコマンドラインを発行します。- 一時スクリプトをデプロイ(
whatpc.ps1)し、バイパス実行ポリシーを使用してTempフォルダで実行。 - 単一のパイプラインで全てのADユーザーと選択されたプロパティを列挙。
- セキュリティイベントログの設定をリストし、後で何が読み取れるか削除できるかを判断。
これらのコマンドは、コマンドラインに一致するPowerShell操作イベント(EventID 4104)を生成します。
コマンドラインフィールドはルールの選定1-3節に一致し、アラートを発生させるべきです。 - 一時スクリプトをデプロイ(
-
リグレッションテストスクリプト:
# ------------------------------------------------- # UAT‑8302偵察シミュレーションスクリプト # ------------------------------------------------- # 1. ダミースクリプト(whatpc.ps1)をデプロイして実行 $scriptPath = "$env:windirTempwhatpc.ps1" Set-Content -Path $scriptPath -Value '# ダミースクリプト; 検知テスト用' -Encoding ASCII powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath # 2. ADユーザー列挙(RSAT ADモジュールが必要) powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath" # 3. セキュリティログ列挙 powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount" # ------------------------------------------------- -
クリーンアップコマンド:
# 一時スクリプトを削除 Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force # 必要に応じてPowerShellセッション履歴をクリア(保存されている場合) Clear-History