ハンダラ脅威グループ：戦術、ターゲット、攻撃タイムライン

SOC Prime Team

フォローする

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

Handalaは、イランに関連するハクティビストグループで、破壊的なサイバー作戦を展開しています。このグループは、フィッシング、AutoITベースのローダー、ワイパーマルウェアを組み合わせた多段階攻撃チェーンを使用します。そのキャンペーンは、主にイスラエル、米国、地域のインフラターゲットにおける混乱とデータの破壊を目的としています。

調査

このレポートは、Handalaが伝統的なハクティビスト活動からより高度な破壊的作戦に移行する様子を概説しています。特権昇格のためのBYOVD技術の使用や、WindowsとLinux環境の両方でワイパーペイロードを展開する様子を調査します。技術的な分析は、Telegramを通じたコマンドとコントロール活動、およびバッチスクリプトに組み込まれた難読化方法もカバーしています。

緩和策

組織は、悪意のある添付ファイルと疑わしいZIPベースのダウンロードをブロックするために厳格なメールフィルタリングを適用する必要があります。脆弱または許可されていないドライバーの使用を制限することでBYOVDの悪用リスクを減らし、許可されていないAutoIT実行を監視することで早期活動を検出できるようにします。エンドポイント防御も、迅速なファイル上書きと許可されていないディスクフォーマット動作を識別するように調整するべきです。

対応

Handala関連の活動が検出された場合、ワイパーマルウェアの拡散を止めるために、影響を受けたホストは即座に隔離するべきです。調査員はメモリーフォレンジックスを行い、注入されたシェルコードを特定し、システムを非許可のドライバーロードについてレビューする必要があります。フィッシングキャンペーンの範囲を特定するために、メールログも分析し、漏洩した認証情報はすぐに変更するべきです。

"graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing["アクション – フィッシング：スピアフィッシング添付ファイル 説明: 悪意のあるPDF添付またはZIPアーカイブを含む 欺瞞的なメール。 例: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Execution Stage action_execution["アクション – コマンドおよびスクリプトインタープリタ 説明: shellcodeをロードするためにNSIS実行ファイルと コンパイルされたAutoITスクリプトを使用。"] class action_execution execution %% Privilege Escalation Stage action_priv_esc["アクション – 特権昇格のためのエクスプロイト 説明: カーネルメモリにアクセスするための脆弱なドライバー持ち込み（BYOVD） メカニズムの使用。"] tool_vulnerable_driver["ツール – ListOpenedFileDrv_32.sys 説明: システムに対するより高い制御を得るためのドライバー。"] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion["アクション – 内容の難読化: ジャンクコード挿入 説明: 分析者を混乱させるために無効なゴミコマンドを バッチスクリプトに挿入。"] class action_evasion defense_evasion %% Discovery Stage action_discovery["アクション – システム情報の発見 説明: ホスト名、ドメイン情報、およびユーザー詳細を収集。"] class action_discovery discovery %% Command and Control Stage action_cnc["アクション – ウェブサービス: Telegram 説明: ハードコードされた ボットおよびチャンネルIDを使用して通信するためのTelegramチャンネル使用。"] class action_cnc command_and_control %% Impact Stage action_impact["アクション – ディスク消去: ディスクコンテンツの消去 説明: ターゲットファイルをランダム化された4096バイトブロックまたはゼロで攻撃的に上書き。"] class action_impact impact %% Connections action_phishing –>|繋がる| action_execution action_execution –>|引き起こす| action_priv_esc action_priv_esc –>|利用| tool_vulnerable_driver action_execution –>|使用| action_evasion action_execution –>|実行| action_discovery action_discovery –>|確立| action_cnc action_cnc –>|促進| action_impact "

攻撃フロー

攻撃の物語とコマンド: 攻撃者はスピアフィッシングの添付ファイルを介して悪意のあるNSISインストーラを成功裏に配信しました。実行すると、NSISエンジンは隠しコマンドシェルを実行します。目的は、事後に（Carroll.cmd）作業ディレクトリにドロップし、ユーザーの介入なしに即座に実行することです。レーダーに引っかからないように、攻撃者はコマンドプロンプトウィンドウの表示をユーザーのデスクトップ上に表示しないように SW_HIDE を使用します。この技術は、任意のコマンドを実行するために正当なインストーラソフトウェアを使用します。

回帰テストスクリプト:

# シミュレーションスクリプト：NSISコマンドライン実行を模倣 
# 注：ルールによりキャプチャされた「コマンドライン」をシミュレートするため、
# 検出された特定の文字列を模倣するプロセス作成をトリガーします。

$MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE'

# NSISプロセス作成を正確にシミュレートするため、cmd.exeを 
# 引数として文字列を用いてコールし、コマンドラインテレメトリに表示させます。
Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand"

Write-Host "シミュレーションコマンドが実行されました。SIEMを確認: $MaliciousCommand"

クリーンアップコマンド:

# シミュレーション中に作成されたすべてのファイルを削除
Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加