ドラゴンリターン作戦:中国のネットワークによるインドの税務インフラを狙ったスパイ活動
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
高度に洗練された中国関連のサイバー諜報活動が、インドの税制エコシステムを標的にし、財務省を偽装しています。この作戦は、悪意のある添付ファイルを含むスピアフィッシングメールを使用し、複数段階のDcRAT感染チェーンを展開します。このマルウェアは、ステガノグラフィー、AMSIバイパス、ファイルレスな.NET実行を利用して、侵入したシステム上に持続し、機密情報を流出させます。
調査
Seqrite Labは、偽の政府ユーティリティを中心に構築された多段階の感染チェーンの分析を通じてキャンペーンを発見しました。この調査では、DLLを呼び出す軽量ランチャーを使用し、その後にコードを svchost.exeに注入する手法を明らかにしました。また、JPG画像内に隠されたステガノグラフィ手法のペイロードや、TLSを介した暗号化された指令と制御のトラフィックも観察されました。
緩和策
組織は、偽装された政府ドメインから送信された疑わしい添付ファイルやリンクをブロックする強力なメールフィルタリングを展開するべきです。セキュリティチームは、特にWindows Mixed Realityのような正当なコンポーネントに偽装されたサービスを中心に、未許可のWindowsサービスの作成を監視する必要があります。厳格なUACポリシーの導入や、メモリ内での.NETの不審な実行を監視することも侵害の影響を軽減する手助けとなります。
対応
この活動が検出された場合、影響を受けたエンドポイントは、さらなる指令と制御の通信、データ盗難を防ぐために直ちに隔離されるべきです。調査者は、注入されたコードを特定するためにメモリフォレンジックを実施し、 svchost.exe の中と MixedSvcのような未許可のサービスを確認するべきです。ネットワークログも、特定されたドメインやIPアドレスへの接続を確認するためにレビューされるべきであり、インシデント対応はクレデンシャルの回転とシステムの整合性の確認に焦点を当てるべきです。
攻撃フロー
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが合格していること。
要因: このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述しています。コマンドと説明文は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃のシナリオとコマンド: 敵は、第二段階のドロッパーを正常に展開しました。持続性を確立し、さらなる指令を受け取るために、マルウェアは、そのハードコードされたC2インフラストラクチャに接触しようとします。攻撃者の目的は、非標準ポート(2671)を使用して、標準的なウェブプロキシを回避することです。このシミュレーションでは、特定のドメイン
kkxqbh.topのポート2671に TCP接続を試みることでこの動作を模倣し、検出ルールが必要とする正確なドメインandポートのテレメトリを生成します。 -
回帰テストスクリプト:
# DragonReturn C2通信のシミュレーション $C2Domain = "kkxqbh.top" $C2Port = 2671 Write-Host "[+] $C2Domain のポート $C2Port へのC2接続をシミュレートしようとしています..." try { # 特定のIoCに接続を開始するためにTCPクライアントを使用 $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect($C2Domain, $C2Port, $null, $null) # テレメトリが生成されるのを許可するための短時間の待機 $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[!] 接続が確立されました (C2成功のシミュレーション)。" } else { Write-Host "[?] 接続に失敗しました(ドメインが非アクティブな場合は予想される)、しかしテレメトリが生成されているはずです。" } $tcpClient.Close() } catch { Write-Host "[!] シミュレーション中にエラー: $_" } -
クリーンアップコマンド:
# 永続的な変更は行っていないため、このネットワークのみのシミュレーションにクリーンアップは必要ありません。 Write-Host "[+] シミュレーションが完了しました。システムへの変更は行われていません。"