フォローする 
概要
SloppyLemmingは、南および東アジアの重要産業を標的とするサイバー諜報グループです。このグループはカスタムマルウェアを配布するためのスピアフィッシングに依存しており、BurrowShellバックドアやRustベースのキーロガーを含みます。また、Cloudflare Workersを広範に利用して指令・制御活動や認証情報の盗難をサポートしています。
調査
この報告書は、悪意のあるExcelマクロと偽装認証ポータルを含む多段階キャンペーンを詳述しています。研究者は、政府機関を模倣するために作成されたCloudflareサブドメインを特定し、同グループのカスタムシェルコードとキーロギング機能を分析しました。また、SloppyLemmingが動的API解決やRC4暗号化されたペイロードを用いてどのように静的解析を回避するかも示しました。
緩和策
組織は、悪意のある添付ファイルやフィッシングリンクを配信前にブロックするため、強力なメールフィルタリングを導入するべきです。セキュリティチームは、無許可のRunキーの変更や、 NGenTask.exe といった予期しないDLLの読み込みを含む、疑わしい親子プロセス関係を監視するべきです。検出は、不通常のCloudflare Workerトラフィックおよび無許可のOAuthトークン使用の兆候もカバーする必要があります。
対応策
この活動が検出された場合、指令・制御チャネルを通じたさらなる情報流出を防ぐため、直ちに影響を受けたシステムを隔離してください。メモリフォレンジックを実施してBurrowShellシェルコードを回収し、どの程度侵害されたかを判断してください。キーロガーやOAuth傍受を通じて露出した可能性のあるすべてのアカウントの認証情報をリセットし、特にGoogleアカウントに注意を払ってください。
graph TB %% クラス定義 classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% 初期アクセスノード ia_spearphish_attach[“<b>アクション</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>VBAマクロを含む<br/>悪意のあるMicrosoft Excelスプレッドシート。”] class ia_spearphish_attach initial_access ia_spearphish_link[“<b>アクション</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>偽装されたWebメールポータルや<br/>ぼかし加工されたPDF誘導。”] class ia_spearphish_link initial_access %% 実行ノード ex_vba_interpreter[“<b>アクション</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>マクロがダウンロードを実行し、<br/>audiodg.exe や sppc.dll などの悪意あるファイルを起動。”] class ex_vba_interpreter execution %% 永続化ノード pe_registry_run[“<b>アクション</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>OneDriveを装った<br/>レジストリエントリを作成。”] class pe_registry_run persistence %% 防御回避ノード ev_api_hashing[“<b>アクション</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>BurrowShellバックドアが<br/>ハッシュを利用してWindows APIを解決。”] class ev_api_hashing evasion ev_rc4_encryption[“<b>アクション</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>シェルコードを<br/>RC4暗号化Blobとして隠蔽。”] class ev_rc4_encryption evasion ev_masquerading[“<b>アクション</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>ファイルをsystem32.dllや<br/>mscorsvc.dllに偽装。”] class ev_masquerading evasion ev_dll_hijack[“<b>アクション</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>NGenTask.exeなどの正規バイナリを利用し<br/>DLL検索順序ハイジャックを実行。”] class ev_dll_hijack evasion %% 認証情報アクセスノード ca_keylogger[“<b>アクション</b> – <b>T1056 Input Capture: Keylogging</b><br/>Rust製キーロガーが<br/>キーストロークとGoogle OAuthトークンを取得。”] class ca_keylogger credential_access %% 発見ノード di_sys_info[“<b>アクション</b> – <b>T1082 System Information Discovery</b><br/>BurrowShellがシステム情報を収集。<br/>コンピューター名とユーザー名を含む。”] class di_sys_info discovery %% 収集ノード co_archive_data[“<b>アクション</b> – <b>T1560 Archive Collected Data</b><br/>PythonベースのWebドライバーが<br/>メール添付ファイルを探索・ダウンロード。”] class co_archive_data collection %% コマンド&コントロールノード cc_web_protocols[“<b>アクション</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Cloudflare Workers上に配置されたC2と<br/>HTTPS通信を実行。”] class cc_web_protocols command_control %% 情報流出ノード ex_c2_channel[“<b>アクション</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>取得したデータ、ファイル、<br/>スクリーンショットを攻撃者へ送信。”] class ex_c2_channel exfiltration %% 攻撃フロー接続 ia_spearphish_attach –>|誘導する| ex_vba_interpreter ia_spearphish_link –>|誘導する| ex_vba_interpreter ex_vba_interpreter –>|確立する| pe_registry_run ex_vba_interpreter –>|利用する| ev_api_hashing ex_vba_interpreter –>|利用する| ev_rc4_encryption ex_vba_interpreter –>|利用する| ev_masquerading ex_vba_interpreter –>|利用する| ev_dll_hijack ex_vba_interpreter –>|展開する| ca_keylogger ca_keylogger –>|開始する| di_sys_info di_sys_info –>|先行する| co_archive_data co_archive_data –>|通信する| cc_web_protocols cc_web_protocols –>|促進する| ex_c2_channel
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインプリフライトチェックが通過している必要があります。
根拠: 本セクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としなければなりません。抽象的または無関係な例は誤診の原因となります。
-
攻撃のナラティブ&コマンド: 敵は持続性を維持し、コマンドを静かに実行しようとします。彼らは、
audiodg.exeのプロセスフローをハイジャックしようとします。引数としてmscorsvc.dllを渡す、SloppyLemmingのよく知られた手法です。検出をさらに複雑にするために、彼らはまた、自分の存在を隠すために、コマンドライン文字列の中で追加の悪質なプロセスをOneDrive.exeと名付ける可能性もあります。目標は、audiodg.exeと疑わしいDLLまたは名前の変装の組み合わせを特定することで、検出ルールをトリガーすることです。 -
回帰テストスクリプト:
# シミュレーションスクリプト: SloppyLemming TTPのエミュレーション # シナリオ1: mscorsvc.dllを用いたaudiodg.exeのハイジャック Write-Host "[+] audiodg.exeのハイジャックをmscorsvc.dllでシミュレート中..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # シナリオ2: OneDrive.exeを利用したコマンドラインでの変装 Write-Host "[+] audiodg.exeの実行をOneDrive.exeの変装と共にシミュレート中..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
クリーンアップコマンド:
# クリーンアップ: cmd /cコマンドによって作成された永続的なアーティファクトはありませんが、 # いかなる規模の不審なプロセスも存在しないことを確認します。 Stop-Process -Name "cmd" -ErrorAction SilentlyContinue