StealCとAmadey:それらの情報スティーラーとサービスを分析
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートでは、情報窃取としてのサービスプラットフォーム『StealC』とマルウェアとしてのサービスローダー『Amadey』の活動を検証しています。サイバー犯罪者はこれらのツールを使用して、機密資格情報、セッションクッキー、暗号通貨関連データを収集し、それによりランサムウェア攻撃のような後続の作業を可能にします。脅威エコシステムは、欺瞞的なウェブトラフィック、SEO ポイズニング、フィッシングキャンペーンを利用して管理されていないデバイスを侵害します。
調査
Microsoft のデジタル犯罪ユニットは、欧州刑事警察機構と協力して、StealC と Amadey に関連する200以上の悪意のあるドメインおよびコマンドアンドコントロール IP アドレスの連携妨害を実施しました。調査官は Microsoft Copilot を用いて、マルウェアサンプルの解析、埋め込まれた文字列の復号、およびハードコーディングされたコマンドアンドコントロールインフラストラクチャの露見を行いました。この操作は、脅威アクターの支援インフラストラクチャの重要な部分の取り下げと停止に繋がりました。
緩和策
ディフェンダーは、新しい変種や進化中の変種をブロックするために、Microsoft Defender のクラウド配信プロテクションとタンパープロテクションを有効化すべきです。攻撃面削減規則を適用することで、欺瞞的なウェブトラフィックのような一般的な感染経路への露出を減らすことができます。さらに、組織は身元保護と資格情報の衛生を強化して、盗まれたセッショントークンや侵害されたアカウントの影響を制限する必要があります。
対応
この活動が検出された場合、組織は身元保護と迅速な封じ込めを優先し、盗まれた資格情報が横方向移動に利用されることを防止すべきです。調査官は、セッションクッキーの盗難によって引き起こされる可能性のある MFA 回避シナリオを詳細に調べる必要があります。侵害されたエンドポイントは迅速に隔離されるべきであり、有効なユーザー資格情報を含む異常な活動のために認証テレメトリが監視されるべきです。
"flowchart TD step_initial_access{"初期アクセス: T1189 – Drive-by Compromise & T1674 – Input Injection (ClickFix)"} step_persistence_amadey["持続性: T1037.004 – スケジュールされたタスク & T1059.003 – Windows コマンドシェル (Amadey ローダー)"] rules_for_step_persistence_amadey("<b>ルール名</b>: シェルプロセスによって生成された MsiExec (cmdline 経由)<br/><b>ルール ID</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["資格情報アクセス: T1555.003 – Web ブラウザからの資格情報、T1114.002 – リモートメールコレクション & T1552.008 – チャットメッセージ (StealC インフォスティーラー)"] step_stealth["防御回避: T1070.010 – マルウェアの移動 (PowerShell クレードル実行)"] step_exfiltration["データ漏洩: T1041 – C2 チャネル経由でのデータ漏洩 (RC4/Base64 送信) "] step_initial_access –>|leads_to| step_persistence_amadey step_persistence_amadey –>|enables| step_credential_harvesting step_credential_harvesting –>|then| step_stealth step_stealth –>|leads_to| step_exfiltration step_persistence_amadey -.->|detected_by| rules_for_step_persistence_amadey "
攻撃の流れ
検出
遅延実行のためのタイムアウト使用の可能性 (cmdline 経由)
ビュー
Powershell 経由のダウンロードまたはアップロード (cmdline 経由)
ビュー
シェルプロセスによって生成された MsiExec (cmdline 経由)
ビュー
Amadey マルウェア持続性のためのスケジュールされたタスク作成 [Microsoft Windows セキュリティイベントログ]
ビュー
StealC マルウェア実行とプロセスインジェクション検出 [Windows プロセス作成]
ビュー
## シミュレーション実行
前提条件: テレメトリ&ベースラインのプリフライトチェックが合格している必要があります。
理由: このセクションは、検出ルールをトリガーするために設計された敵対者の技術 (TTP) の正確な実行方法を詳細に説明します。コマンドと説明は TTPs を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を導く可能性があります。
-
攻撃のストーリーとコマンド: 攻撃者が成功裏に『
StealC.exe』という悪意のある実行可能ファイルをドロップしました。単純なシグニチャーベースの検出を回避し、その注入ルーチンを隠そうと試みるために、マルウェアはサブプロセスへのコマンドライン引数として必要な Windows API の名前を渡すことで内部関数を呼び出すように設計されています。これは、コマンドライン自体が意図を示す指標を含む「住むための土地からの生活」スタイルのアプローチをシミュレートしています。実行することを意図したCreateProcessAとCREATE_SUSPENDED、その後、VirtualAllocExandWriteProcessMemoryを使用して注入を行います。 -
リグレッションテストスクリプト:
# 期待されるコマンドライン文字列を模倣することによって Sigma ルールをトリガーするためのシミュレーションスクリプト # 注: これは文字列の存在をシミュレートするものであり、実際の API 実行ではありません。 $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] シミュレーション開始: 注入文字列で $malwareName を実行中..." -ForegroundColor Cyan # 検出の 'Image' 部分を満たすために、StealC.exe という名前のダミーファイルを作成します New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # 検出ロジックが要求する特定の文字列でダミーファイルを実行します # 実際のシナリオでは、これがマルウェアの実行になります。 Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] シミュレーションコマンドが送信されました。" -ForegroundColor Green -
クリーンアップコマンド:
# クリーンアップ: シミュレーション中に作成されたダミーのマルウェアファイルを削除します Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了: StealC.exe が削除されました。" -ForegroundColor Yellow