SOC Prime Bias:

17 4月 2026 18:20
newspaper icon Malwarebytes

偽のSlackダウンロードが攻撃者に隠しデスクトップを提供

Author Photo
SOC Prime Team linkedin icon フォローする
偽のSlackダウンロードが攻撃者に隠しデスクトップを提供
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

Slackに偽装した悪意あるインストーラーが、ユーザーを欺くためにタイポスクワッティングドメインを介して配布されています。実行されると、正規のSlackアプリケーションとともに、コマンドアンドコントロールサーバーに接続し、暗号化されたHVNCペイロードを取得して注入する秘密のローダーをインストールします。 explorer.exe。このマルウェアは目に見えないデスクトップセッションを作成し、攻撃者が被害者に気づかれることなく、侵害されたマシン上でブラウズ、操作、および行動することを可能にします。この手法は、Slackブランドが個人および企業ユーザーの両方から広く信頼されている環境で特に危険です。

調査

研究者はインストーラーを展開し、2つの一時ファイルを発見しました: slack.tmp、これは正規のSquirrelアップデートパッケージを含んでおり、 svc.tmp、これは悪意のあるローダーとして機能しました。分析により、ローダーが実行レジストリキーを通じて永続性を確立し、実行時にWindows APIを動的に解決し、暗号化されたDLLをダウンロードして、 wmiprvse_*.tmpとして保存し、セクションベースのインジェクションを使用してそれを読み込むことが判明しました。調査員はまた、TCPポート8081を介してコマンドアンドコントロールサーバーとの外部通信も観察しました。デバッガーの検出やサンドボックスのタイミングチェックなど、追加の分析回避ロジックも存在しました。 explorer.exe. Investigators also observed outbound communication with a command-and-control server over TCP port 8081. Additional anti-analysis logic was present, including debugger detection and sandbox timing checks.

対策

ユーザーはSlackを公式の slack.com ウェブサイトまたは信頼された保存リンクからのみダウンロードし、インストーラーを実行する前にデジタル署名を確認するべきです。組織は、既知の悪意あるドメインや疑わしい実行ファイルをブロックできるリアルタイム保護を有効にするべきです。防衛者は、ポート8081の予期しないアウトバウンドトラフィック、見慣れない実行レジストリエントリ、信頼されたアプリケーションに関連する異常な子プロセスを監視するべきです。行動ベースの検出は、攻撃者が完全なインタラクティブアクセスを取得する前に、隠されたデスクトップセッションやHVNC関連の活動を特定するのに役立ちます。

対応

この活動が検出された場合、ネットワークから影響を受けたエンドポイントを直ちに隔離し、悪意あるローダーとHVNC関連のプロセスを終了し、実行レジストリキーから永続化メカニズムを削除してください。完全なマルウェアスキャンを実行し、関連するすべての悪意あるドメインとIPアドレスを環境全体でブロックしてください。侵害されたマシンで使用されたすべての資格情報は、クリーンなデバイスからリセットするべきです。セキュリティチームは、さらに調査および範囲の特定をサポートするための法医学アーティファクトを収集するべきです。

graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[“<b>アーティファクト</b> – タイポスクワッティングされたサイト<br/>URL: slacks.pro または debtclean-ua.sbs”] class site_typosquat artifact download_exe[“<b>アーティファクト</b> – slacku20114u201149u201181.exe<br/>タイポスクワッティングサイトから配布された悪意ある実行ファイル”] class download_exe artifact run_registry[“<b>アーティファクト</b> – レジストリ実行キー<br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack”] class run_registry artifact hvnc_dll[“<b>アーティファクト</b> – カスタムPEセクションに保存された暗号化HVNC DLL”] class hvnc_dll artifact c2_server[“<b>アーティファクト</b> – コマンド&コントロールサーバー<br/>WinHTTP経由でポート8081を使用”] class c2_server artifact explorer_proc[“<b>プロセス</b> – explorer.exe(Windowsシェル)”] class explorer_proc process loader[“<b>マルウェア</b> – 復号、C2通信、インジェクションを行うローダー”] class loader malware mavinject[“<b>ツール</b> – Mavinject(システムバイナリプロキシ実行)”] class mavinject tool initial_access[“<b>技術</b> – <b>T1204.001 ユーザー実行: 悪意あるリンク</b><br/><b>説明</b>: ユーザーが悪意あるサイトへ誘導するリンクをクリックし、自動的にマルウェアがダウンロードされる”] class initial_access technique execution_file[“<b>技術</b> – <b>T1204.002 ユーザー実行: 悪意あるファイル</b><br/><b>説明</b>: ダウンロードされたファイルをユーザーが実行する”] class execution_file technique persistence_active_setup[“<b>技術</b> – <b>T1547.014 起動またはログオン時の自動実行: Active Setup</b><br/><b>説明</b>: レジストリRunキーを作成し永続化する”] class persistence_active_setup technique obfuscation[“<b>技術</b> – <b>T1027 難読化されたファイルまたは情報</b><br/><b>説明</b>: ペイロード暗号化、パディング、カスタムPEセクション、実行時API解決を使用”] class obfuscation technique embedded_payload[“<b>サブ技術</b> – <b>T1027.009 埋め込みペイロード</b>”] class embedded_payload technique binary_padding[“<b>サブ技術</b> – <b>T1027.001 バイナリパディング</b>”] class binary_padding technique compile_after_delivery[“<b>サブ技術</b> – <b>T1027.004 配布後コンパイル</b>”] class compile_after_delivery technique stripped_payload[“<b>サブ技術</b> – <b>T1027.008 削除されたペイロード</b>”] class stripped_payload technique c2_communication[“<b>技術</b> – <b>T1071.001 Webプロトコル(WinHTTP)</b><br/><b>説明</b>: TCP 8081を使用してC2と通信”] class c2_communication technique reflective_loading[“<b>技術</b> – <b>T1620 リフレクティブコードロード</b><br/><b>説明</b>: HVNC DLLをメモリ上で復号しロードする”] class reflective_loading technique process_injection[“<b>技術</b> – <b>T1055.002 PEインジェクション</b><br/><b>説明</b>: explorer.exeへDLLをセクションベースで注入”] class process_injection technique system_binary_proxy[“<b>技術</b> – <b>T1218.013 システムバイナリプロキシ実行: Mavinject</b><br/><b>説明</b>: Mavinjectを使用してDLLを注入”] class system_binary_proxy technique site_typosquat –>|悪意あるページをホスト| initial_access initial_access –>|ダウンロードを誘発| download_exe download_exe –>|ユーザーが実行| execution_file execution_file –>|永続化を確立| persistence_active_setup persistence_active_setup –>|作成| run_registry run_registry –>|ロード| loader loader –>|適用| obfuscation obfuscation –>|使用| embedded_payload obfuscation –>|使用| binary_padding obfuscation –>|使用| compile_after_delivery obfuscation –>|使用| stripped_payload loader –>|接続| c2_server c2_server –>|有効化| c2_communication loader –>|復号してロード| hvnc_dll hvnc_dll –>|リフレクティブロード| reflective_loading reflective_loading –>|注入| explorer_proc explorer_proc –>|対象| process_injection process_injection –>|使用| mavinject mavinject –>|実行| system_binary_proxy

攻撃フロー

シミュレーション実行

前提条件:テレメトリーとベースラインのプリフライトチェックが完了していること。

根拠:このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。

  • 攻撃の説明とコマンド:

    1. 初期アクセス – 攻撃者はtrojanizedインストーラーを提供します slack-4-49-81.exe をフィッシングメールで送信します。
    2. 実行 – 被害者はファイルを実行し、隠しローダーを抽出します svc.tmp to %TEMP%.
    3. 隠しデスクトップの作成(T1564.003)svc.tmp を呼び出します CreateProcessSW_HIDEで、リモートアクセスツールをホストする隠しデスクトップセッションを生成します。
    4. 永続性(T1547.013 & T1546.016) – ローダーはCOMサーバーを登録し、スタートアップフォルダに配置されたショートカットを通じて自動開始され、再起動時に実行されるようにします。
    5. 潜在的なルートキットインストール(T1014) – 管理権限が与えられた場合、 svc.tmp ルートキットドライバーを %SystemRoot%System32driversmaldrv.sys.

  • 回帰テストスクリプト: このスクリプトは、無害なバイナリ(のコピーを使用した notepad.exe)でステップ2–4を再現し、ルールが監視する正確なファイル名を保存します。

    # -------------------------------------------------
# 回帰テスト – 偽のSlackインストーラーシミュレーション
# -------------------------------------------------
# 1. 偽のバイナリの準備(無害なnotepad.exeを使用)
$temp = $env:TEMP
$installer = Join-Path $temp "slack-4-49-81.exe"
$loader    = Join-Path $temp "svc.tmp"

Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force

# 2. インストーラーの実行 – この操作で検出ルールが発動します
Write-Host "[*] 偽のインストーラーを起動しています..."
Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null

# 3. 隠しデスクトップの作成をシミュレート(ローダー)
Write-Host "[*] 隠しローダーを開始しています..."
Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null

# 4. 永続化をエミュレートするため、スタートアップフォルダにショートカットを作成
$startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
$shortcutPath = Join-Path $startup "Slack Hidden.lnk"

$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut($shortcutPath)
$shortcut.TargetPath = $loader
$shortcut.WindowStyle = 7   # Hidden
$shortcut.Save()

Write-Host "[+] シミュレーションが完了しました。SIEMで'slack-4-49-81.exe' または 'svc.tmp'で終わるイメージのイベントを確認してください。"

  • クリーンアップコマンド: テストアーティファクトおよび作成されたショートカットを削除します。

    # クリーンアップスクリプト – 同じユーザーコンテキストで実行
$temp = $env:TEMP
Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue

$shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue

Write-Host "[+] クリーンアップが完了しました。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加