フォローする 
概要
2026年4月に観測されたキャンペーンでは、Google Cloud Storageにホストされた悪意のあるLNKファイルや実行ファイルダウンロードを含むスピアフィッシングメールを使用しました。配信されたペイロードはPoisonXというカーネルドライバーと、攻撃者がカーネルレベルの権限を得て、セキュリティツールを無効にし、悪意のある活動を隠すことができるモジュラー型RAT「10FXRAT」をインストールしました。後のバリアントでは、正当な署名入りドライバーを使用したBYOVD戦術も採用されました。 EneIo64.sys and procexp.sys。この活動は、日本と中国の組織を標的として観測されています。
調査
このレポートでは、 curl.exeを呼び出すLNKベースのダウンローダーから始まる完全な実行チェーンを説明し、次にPoisonXドライバーと10FXRATモジュールを展開するPXDropperコンポーネントに移行します。また、セキュリティ関連のプロセスを終了し、ネットワークトラフィックを隠すために使用されるドライバーベースのIOCTLルーチンについても記述します。研究者たちは、アンチアナリシスチェック、レジストリの変更、サービスの作成、及び永続化手法を記録し、オペレーションに関連するハードコードされたコマンド&コントロールIPアドレスを列挙しました。
緩和策
防御者は、特に未署名または疑わしい署名のドライバーの想定外のインストール活動、ランダム化されたHIDスタイルのファイル名でのサービスの作成を監視するべきです。検出は、Microsoft Defenderの除外を追加したりDefenderサービスを無効にするレジストリ変更もカバーするべきです。識別されたコマンド&コントロールIP範囲へのアウトバウンドトラフィックはブロックされるべきで、ネットワーク監視はTCPペイロードで 0x58463031 マジックバリューを探すべきです。
対応策
この活動が発見された場合、影響を受けたエンドポイントを即座に隔離し、可能ならばPoisonXドライバーをアンロードし、すべての10FXRATプロセスを終了します。変更されたレジストリ設定を復元し、Microsoft Defenderの保護を再有効化し、信頼できるソースからのクリーンバージョンで修正されたファイルを置き換えます。その後、完全なフォレンジック調査を行い、持続性メカニズムを特定し、既知のコマンド&コントロールサーバーへのトラフィックをレビューします。
“graph TB
%% Class definitions
classDef action fill:#ffcc99
classDef tool fill:#99ff99
classDef malware fill:#ff9966
classDef process fill:#ccccff
%% Nodes
email[“Tool – Name: Phishing Email
Description: Targeted email with malicious Google Cloud Storage link”]
class email tool
initial_access_phishing[“Action – T1566.002 Spearphishing Link
Attacker sends email containing a link to a malicious LNK or EXE file”]
class initial_access_phishing action
lNK_file[“Tool – Name: Malicious LNK Shortcut
Description: Shortcut that runs curl.exe to fetch the dropper”]
class lNK_file tool
curl_download[“Process – Name: curl.exe
Action: Downloads PXDropper payload from the remote server”]
class curl_download process
pxdropper[“Malware – Name: PXDropper
Description: Dropper that sets up persistence and prepares privilege escalation”]
class pxdropper malware
persistence_service[“Action – T1547.009 Shortcut Modification
Creates or modifies a shortcut to achieve autostart”]
class persistence_service action
registry_run[“Action – T1547.001 Registry Run Keys/Startup Folder
Adds a Run registry entry for automatic execution”]
class registry_run action
service_creation[“Action – T1543.003 Create or Modify System Process: Windows Service
Installs a Windows service to run the dropper at boot”]
class service_creation action
priv_esc_exploit[“Action – T1068 Exploitation for Privilege Escalation
Exploits a vulnerability to load a signed driver”]
class priv_esc_exploit action
driver_install[“Malware – Name: PoisonX Driver
Description: Signed kernel driver loaded as a service (BYOVD)”]
class driver_install malware
kernel_privilege[“Action – T1547.006 Boot or Logon Autostart Execution
Kernel driver grants SYSTEMu2011level privileges”]
class kernel_privilege action
defense_evasion[“Action – T1497.001 Virtualization/Sandbox Evasion
Performs checks for analysis environments”]
class defense_evasion action
rootkit[“Action – T1014 Rootkit
Hooks kernel APIs to hide processes and network traffic”]
class rootkit action
discovery_process[“Action – T1057 Process Discovery
Enumerates running processes on the host”]
class discovery_process action
discovery_security[“Action – T1518.001 Security Software Discovery
Detects installed security products”]
class discovery_security action
defense_impair[“Action – Defense Impairment
Uses driver IOCTL commands to terminate security product processes”]
class defense_impair action
c2_ratat[“Malware – Name: 10FXRAT
Description: Remote access tool that creates an internal SOCKS5 proxy”]
class c2_ratat malware
c2_communication[“Action – T1219 Remote Access Tools
Establishes encrypted C2 channel with the attacker”]
class c2_communication action
proxy_setup[“Action – T1090 Proxy
Sets up internal SOCKS5 tunnel for traffic forwarding”]
class proxy_setup action
additional_mods[“Action – Additional Capabilities
Modular plugins provide keylogging, credential theft, and cryptou2011wallet harvesting”]
class additional_mods action
%% Connections showing the attack flow
email –>|delivers| initial_access_phishing
initial_access_phishing –>|provides| lNK_file
lNK_file –>|executes| curl_download
curl_download –>|downloads| pxdropper
pxdropper –>|creates| persistence_service
persistence_service –>|registers| service_creation
service_creation –>|runs| pxdropper
pxdropper –>|adds| registry_run
pxdropper –>|uses| priv_esc_exploit
priv_esc_exploit –>|installs| driver_install
driver_install –>|grants| kernel_privilege
kernel_privilege –>|enables| rootkit
rootkit –>|performs| defense_evasion
rootkit –>|performs| discovery_process
rootkit –>|performs| discovery_security
discovery_process –>|enables| defense_impair
pxdropper –>|drops| c2_ratat
c2_ratat –>|uses| c2_communication
c2_communication –>|establishes| proxy_setup
proxy_setup –>|supports| additional_mods
攻撃フロー
検出
疑わしいCURLの使用(cmdline経由)
閲覧
可能な持続性ポイント [ASEPs – Software/NTUSER Hive] (レジストリイベント経由)
閲覧
Windows Defender保護の無効化(レジストリイベント経由)
閲覧
疑わしい二重拡張子を持つLNKファイルの可能性(cmdline経由)
閲覧
隠れたPowerShellコマンドラインによる実行の可能性(cmdline経由)
閲覧
Powershellコマンドラインから疑わしい.NETクラス/メソッドを呼び出す(プロセス作成経由)
閲覧
非典型的なパスからのシステムプロセス実行(プロセス作成経由)
閲覧
Powershellから疑わしい.NETメソッドを呼び出す (powershell経由)
閲覧
Windows Defender設定の疑わしい変更(powershell経由)
閲覧
Google APIストレージドメインが異常なプロセスによって解決された(dnsクエリ経由)
閲覧
IOC (HashSha256) を検出:日本の組織を狙ったPoisonXドライバーベースの攻撃キャンペーンパート2
閲覧
IOC (HashSha256) を検出:日本の組織を狙ったPoisonXドライバーベースの攻撃キャンペーンパート1
閲覧
IOC (SourceIP) を検出:日本の組織を狙ったPoisonXドライバーベースの攻撃キャンペーン
閲覧
IOC (DestinationIP) を検出:日本の組織を狙ったPoisonXドライバーベースの攻撃キャンペーン
閲覧
10FXRAT C2通信の検出 [Windows ネットワーク接続]
閲覧
10FXRATおよびセキュリティサービス無効化コマンドの検出 [Windows プロセス作成]
閲覧
Windows Defenderと実行キーの変更によるマルウェアの持続性[Windows レジストリエベント]
閲覧
シミュレーション実行
前提条件:テレメトリー&ベースラインの準備チェックが合格している必要があります。
根拠:このセクションでは、検出ルールをトリガーするように設計された攻撃技術(TTP)の正確な実行について詳述しています。コマンドと説明は特定されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目指しています。
-
攻撃の説明とコマンド:
攻撃者はまず、信頼されたプロセスの足掛かりを得るためにカスタムシェルコードのペイロードをusoclient64.exeに注入します(T1574.009)。ハイジャックされたプロセスを使用して、Windows Defenderの除外リストに悪意のあるペイロードフォルダを追加するPowerShellワンライナーを実行します(T1564.012)。最後に、Windows Defender、Windows Security Center、及びサードパーティAVを停止するチェーンされたcmd.exeコールを使用してコアセキュリティサービスを無効にします(T1547.001 サービス停止による持続性)。- プロセスホローイング/注入 – PowerShellスクリプトを起動してシミュレート(注入されたコードを表すスリープ)。
usoclient64.exeによってシミュレートを起動する - Defenderの除外を追加 – 規則の文字列と正確に一致するPowerShellコマンド。
- セキュリティサービスの停止 –
cmd.exeサービスを停止するワンライナー。
- プロセスホローイング/注入 – PowerShellスクリプトを起動してシミュレート(注入されたコードを表すスリープ)。
-
回帰テストスクリプト:
# ------------------------------------------------------------------------- # シミュレーションスクリプト – 10FXRATのような振る舞いに対するSigmaルールをトリガーする # ------------------------------------------------------------------------- # 1. usoclient64.exeの注入をシミュレーション(プロセスホローイングプレースホルダー) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] usoclient64.exe を起動(注入をシミュレート中)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Defenderの除外を追加するPowerShellコマンド(ルールに一致) Write-Host "[*] Windows Defender の除外パスを追加中..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. cmd経由でセキュリティサービスを停止する(ルールに一致) Write-Host "[*] セキュリティサービスを停止中..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] シミュレーション完了。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# ------------------------------------------------------------------------- # クリーンアップ – 通常のセキュリティ体制を復元 # ------------------------------------------------------------------------- # Defenderの除外を削除 powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # 停止したサービスを再起動 cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # 必要に応じて注入されたusoclient64.exeインスタンスを強制終了 Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] クリーンアップ完了。"