SOC Prime Bias:

12 Jun 2026 06:27 UTC
newspaper icon Fortinetブログ

AIをテーマにした脅威キャンペーンで配布されるAsyncRAT

Author Photo
SOC Prime Team linkedin icon フォローする
AIをテーマにした脅威キャンペーンで配布されるAsyncRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

脅威アクターがAIをテーマにした誘引を利用して、マルチステージのマルウェア感染チェーンを拡散しています。この攻撃は、段階的スクリプト、AutoHotkeyベースのローダー、およびプロセスホローイングを組み合わせて、.NETリモートアクセス型トロイの木馬とAsyncRATの両方を展開します。このキャンペーンの注目すべき点は、マルウェア全体に埋め込まれた簡体字中国語の変数名とコードコメントに反映されたAIを活用した開発の明らかな使用です。

調査

FortiGuard Labsは、LNKファイルを含む悪意のあるZIPアーカイブから始まる複雑な侵入シーケンスを調査しました。彼らの分析は、PDFベースのコンテナからの複数段階のペイロード抽出と、AutoHotkey主導のリフレクティブインジェクション、そして最終的にはAsyncRATと共にモジュラーな.NET RATの展開を明らかにしました。研究者たちはまた、中国語による意味の抽象化や、マルウェアの動作を隠すために設計されたカスタムの復号化ロジックなど、明確な難読化方法を記録しました。

緩和策

ユーザーは特に未確認もしくは予期しない送信元から受信したLNKファイル、圧縮アーカイブ、および文書に注意を払うべきです。組織はスタートアップエントリ、スケジュールされたタスク、およびレジストリの場所について不正な変更がないか確認する必要があります。また、疑わしいPowerShellアクティビティや不審なアウトバウンドネットワーク接続の監視も、初期段階の侵害を特定するために不可欠です。

対応

この活動が検出された場合、対応者は %LOCALAPPDATA% and %APPDATA% ディレクトリを見直し、ドロップされたスクリプトや関連アーティファクトを特定すべきです。タスクスケジューラも、 CheckRealtekAudioVersion or ResetRealtekAudioSettings64のような疑わしいタスクを確認すべきです。影響を受けたシステムは、識別された悪意のあるドメインやIPアドレスとのさらなる通信を防ぐため、直ちに隔離すべきです。

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef technique fill:#ffff99 %% Node Definitions %% Initial Stage action_user_exec["<b>Action</b> – <b>T1204.002 User Execution: Malicious File</b><br/>User opens a compressed archive containing<br/>a malicious .lnk shortcut disguised as an AI guide."] class action_user_exec action action_obfuscation["<b>Action</b> – <b>T1027 Obfuscated Files or Information</b><br/>The .lnk file uses cmd.exe to execute an<br/>obfuscated command sequence to extract data<br/>from a hidden PDF file named 3th.pdf."] class action_obfuscation technique %% Staged Execution action_ps_decryption["<b>Action</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>A PowerShell script performs AES-CBC decryption<br/>and Base64 decoding to reveal a payload<br/>saved as Cache_{GUID}.ps1."] class action_ps_decryption technique %% Persistence and Evasion action_persistence["<b>Action</b> – <b>T1547 Persistence</b><br/>The script creates a scheduled task named<br/>CheckRealtekAudioVersion to ensure survival."] class action_persistence technique action_exclusion["<b>Action</b> – <b>T1679 Selective Exclusion</b><br/>The malware uses Add-MpPreference to add<br/>the C drive and powershell.exe to the<br/>Microsoft Defender exclusion list."] class action_exclusion technique %% Proxying and Scripting action_cmd_shell["<b>Action</b> – <b>T1059.003 Command and Scripting Interpreter: Windows Command Shell</b><br/>Utilizes Windows Command Shell for execution."] class action_cmd_shell technique action_syncappv["<b>Action</b> – <b>T1216.002 System Script Proxy Execution: SyncAppvPublishingServer</b><br/>Uses a VBS file ResetRealtekAudioSettings64.vbs<br/>to act as a mediator for launching batch files."] class action_syncappv technique %% AutoHotkey Stage tool_autohotkey["<b/>Tool: AutoHotkey.exe<br/>Benign binary used to execute malicious<br/>.ahk scripts for complex logic."] class tool_autohotkey tool action_ahk_interpreter["<b/>Action – <b>T1059.010 Command and Scripting Interpreter: AutoHotKey & AutoIT</b><br/>The .ahk scripts manage process injection<br/>and orchestration."] class action_ahk_interpreter technique %% Injection and Payload action_hollowing["<b/>Action – <b>T1055.012 Process Injection: Process Hollowing</b><br/>Reconstructs a PE payload from text data<br/>and injects it into legitimate .NET processes."] class action_hollowing technique process_dotnet["<b/>Process: .NET Process<br/>Targeted legitimate process such as<br/>AddInProcess32.exe for injection."] class process_dotnet process malware_asyncrat["<b/>Malware: AsyncRAT<br/>A modular .NET Remote Access Trojan<br/>deployed as the final payload."] class malware_asyncrat malware action_exfiltration["<b/>Action – <b>T1048 Exfiltration Over Alternative Protocol</b><br/>Exfiltrates system information and performs<br/>surveillance via C2 domains like shampobiskworld.nl."] class action_exfiltration technique %% Connections %% Initial chain action_user_exec –>|leads_to| action_obfuscation action_obfuscation –>|triggers| action_ps_decryption %% Persistence and Evasion chain action_ps_decryption –>|establishes| action_persistence action_ps_decryption –>|performs| action_exclusion %% Scripting and Proxying chain action_ps_decryption –>|leverages| action_cmd_shell action_cmd_shell –>|uses| action_syncappv %% AutoHotkey chain action_syncappv –>|executes| tool_autohotkey tool_autohotkey –>|uses| action_ahk_interpreter %% Injection chain action_ahk_interpreter –>|performs| action_hollowing action_hollowing –>|injects_into| process_dotnet %% Final Payload chain process_dotnet –>|hosts| malware_asyncrat malware_asyncrat –>|performs| action_exfiltration "

攻撃フロー

検出

隠されたPowerShellコマンドラインによる実行の可能性(cmdline経由)

SOC Primeチーム
2026年6月11日

表示

AutoHotkeyスクリプト実行の試行の可能性(cmdline経由)

SOC Primeチーム
2026年6月11日

表示

LOLBAS WScript / CScript (プロセス作成経由)

SOC Primeチーム
2026年6月11日

表示

疑わしいPowershell文字列(powershell経由)

SOC Primeチーム
2026年6月11日

表示

PowerShellからの.NETメソッド呼び出し(powershell経由)

SOC Primeチーム
2026年6月11日

表示

PowerShell難読化の指標の可能性(powershell経由)

SOC Primeチーム
2026年6月11日

表示

AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (HashSha256)

SOC Prime AIルール
2026年6月11日

表示

AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (SourceIP)

SOC Prime AIルール
2026年6月11日

表示

AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (DestinationIP)

SOC Prime AIルール
2026年6月11日

表示

RijndaelManaged暗号化を使用したAsyncRATのコマンドとコントロール [Windows Sysmon]

SOC Prime AIルール
2026年6月11日

表示

AsyncRAT C2ドメイン通信の検出 [Windowsネットワーク接続]

SOC Prime AIルール
2026年6月11日

表示

隠しウィンドウとセキュリティバイパスによるPowershellの疑わしい実行 [Windows Powershell]

SOC Prime AIルール
2026年6月11日

表示

怪しいプロセス作成によるプロセスホローイングの検出 [Windowsプロセス作成]

SOC Prime AIルール
2026年6月11日

表示

シミュレーション実行

前提条件: テレメトリーとベースラインの事前チェックが成功している必要があります。

根拠: このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと記述はTTPsに直接反映され、検出ロジックによって期待される正確なテレメトリーを生成することを目的とします。抽象的あるいは無関係な例は誤診につながります。

  • 攻撃の概要とコマンド: 敵は初期アクセスを獲得し、AsyncRATを使用して持続的なコマンド&コントロール(C2)チャネルを確立する準備をしています。ネットワークに基づくシグネチャ検出を回避するために、攻撃者は RijndaelManaged .NETクラスを使用してトラフィックを暗号化します。攻撃者はPowerShellのワンライナーを実行し、暗号化器をインスタンス化し、C2のハートビートを暗号化されたペイロードでラッピングすることを意図しています。このコマンドは特定の文字列ベースの検出ルールをトリガーするように設計されています。

  • 回帰テストスクリプト:

    # PowerShellでのAsyncRATスタイルの暗号化初期化のシミュレーション
# このコマンドは、コマンドラインで 'RijndaelManaged.CreateEncryptor' という文字列にマッチするように設計されています。
$code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()"
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'"

  • クリーンアップコマンド:

    # シミュレーションスクリプトによる永続的な変更は行われません; ただし、
# コマンドの痕跡を削除するためPowerShell履歴をクリアしています。
Clear-History
Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加