偽のドキュメントで本物のアクセス: Foxitに偽装したステルスVNCコントロールの実現

概要

脅威アクターは、正規のFoxit PDFインストーラーに見える悪意のある実行ファイルを配布しています。この偽のインストーラーは有害なMSIパッケージを取得し、それはUltraVNCのコンポーネントを偽のGPUをテーマにしたディレクトリ内に配置し、Runレジストリキーを通じて永続性を維持します。インストールされると、マルウェアは隠されたVNCサーバーを設定し、悪意のあるドメインへのアウトバウンド接続を開始し、攻撃者にステルスなリモートアクセスを提供します。

調査

調査により、以下のような偽のファイルが明らかになりました datei.exe and personalfoxypdf.msi、これらはUltraVNCをにダウンロードおよびインストールしました C:intel-GPU。その後、バッチスクリプトはネットワークプロファイルのGUIDを列挙し、ファイアウォールの例外を作成し、一意の識別子をに書き込みました IDD.txt、およびRunレジストリエントリを追加して起動しました gpu.exe で接続するためのパラメータを使って hallonews.servemp3.com:5500。研究者はまた、マルウェアが強制的にを終了させ rundll32.exe し、犠牲者を惑わせるために偽装のパスポート画像を表示することを観察しました。

緩和策

組織はアプリケーションの許可リスト化を強制し、インストーラーのコード署名を実行前に検証し、信頼できないMSIファイルをブロックし、未知の実行可能ファイルを指すRunレジストリエントリを監視すべきです。また、疑わしいドメインへのアウトバウンドトラフィックを制限するべきです。予期しないインストーラーに見せかけた信頼されたソフトウェアを起動するリスクについて、ユーザーの意識を高めることも重要です。

対応

この活動が検出された場合、直ちに影響を受けたエンドポイントを隔離し、UltraVNCプロセスを終了し、ディレクトリを削除して悪意のあるRunレジストリエントリを削除してください。潜在的に露出した認証情報をリセットし、完全なフォレンジック調査を行い、識別された侵害指標をカバーするよう検出ルールを更新します。 C:intel-GPU directory, and delete the malicious Run registry entry. Reset any potentially exposed credentials, conduct a full forensic investigation, and update detection rules to cover the identified indicators of compromise.

シミュレーション実行

前提条件：Telemetry & Baseline Pre-flight Checkが合格していること。

攻撃のストーリー＆コマンド

1. 隠しディレクトリ“intel‑GPU”を作成 して、正規のGPUベンダーパスを模倣します。
2. 悪意のあるペイロードをドロップ (gpu.exe, UltraVNC.ini、など）をそのディレクトリに。実行ファイルは、カモフラージュのためにリネームされたUltraVNCサーバーバイナリのコピーです。
3. バッチスクリプトをデプロイ（gpu.cmd) それは：
   • インバウンドVNC（ポート5900）を許可するファイアウォールルールを追加します。
   • VNCサービスを sc create.
   • を用いて永続化のために登録します UltraVNC.ini.
4. 最小限の構成を記述します バッチスクリプトを実行 cmd.exe （署名されたバイナリプロキシ実行）。

これらの手順は、検出ルールに記載されたファイル作成イベントに加えて、強化に使用できる補助的なプロセス作成およびファイアウォールルールイベントを生成します。

回帰テストスクリプト

# -------------------------------------------------
#  ステルスVNCコントロールシミュレーション – PowerShell
# -------------------------------------------------
# 1. 隠しディレクトリを準備
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    # フォルダーを隠す（オプション）
    attrib +h $targetDir
}

# 2. 偽のGPUファイルをドロップする（これらはデモ用の無害なプレースホルダーです）
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
    $path = Join-Path $targetDir $f
    Set-Content -Path $path -Value "Placeholder for $f" -Encoding ASCII -Force
}

# 3. 最小限のUltraVNC.iniを書き込む（実際の構成はもっと包括的です）
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force

# 4. ファイアウォールルールを追加し、サービスを登録するバッチスクリプトを作成
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem VNC用のファイアウォールルールを追加（ポート5900）
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem UltraVNCサービスを登録する（リネームされたexeを使用）
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force

# 5. バッチスクリプトをcmd.exe（署名されたバイナリプロキシ）で実行
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait

Write-Host "ステルスVNCシミュレーション完了"。

クリーンアップコマンド

# -------------------------------------------------
#  ステルスVNCアーティファクトのクリーンアップ
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"

# ファイアウォールルールを削除
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1

# サービスを削除
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1

# ディレクトリおよびすべてのファイルを削除
if (Test-Path $targetDir) {
    Remove-Item -Path $targetDir -Recurse -Force
}

Write-Host "クリーンアップ完了"。