SOC Prime Bias:

12 2月 2026 18:45
newspaper icon ハントレス

社員監視およびSimpleHelpソフトウェアがランサムウェア作戦で悪用される

Author Photo
Ruslan Mikhalov SOC Primeの脅威リサーチ責任者 linkedin icon フォローする
社員監視およびSimpleHelpソフトウェアがランサムウェア作戦で悪用される
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


要約

脅威アクターは、従業員向けのNet MonitorとSimpleHelpリモート管理プラットフォームを悪用し、被害者のネットワークへの持続的なアクセスを維持しました。正規の商用ツールを介して操作することで、侵入者は、Crazyランサムウェア(VoidCryptの変異体)を展開しようとしながら、さらなるペイロードをダウンロードする際に溶け込みました。共通のインフラストラクチャ(共有C2ドメインとIPアドレス)は、両方の事件に同じオペレーターが関与していることを示唆します。このアクティビティは利益目的であり、資格情報/暗号窃盗モニタリングとランサムウェアの恐喝を試みているものでした。

調査

Huntressは、従業員向けのNet Monitorがリバースシェル機能とサービス偽装を可能にした2件の初期の2026年の侵入を記録しました。SimpleHelpはバックアップの持続性を提供しました。アナリストは、vhost.exeの名前が変更されたダウンロード、winpty-agent.exeの実行、およびWindows Defenderの設定を改ざんして防御を弱化させようとする試みを観察しました。初期アクセスには、VPNの認証情報の侵害も含まれており、ツールは無音のmsiexec実行によってインストールされました。Crazyランサムウェアバイナリ(encrypt.exe)の複数のコピーがドロップされましたが、ランサムウェアフェーズは実行に失敗しました。

緩和策

すべてのリモートアクセス経路にMFAを優先して適用し、特権アカウントを最小限に抑えて、横移動を制限するためにネットワークをセグメント化してください。サードパーティの管理ツールを積極的に監査し、疑わしいプロセスチェーン、静かなmsiexecのインストール、およびサービス名の偽装を警戒してください。既知のC2インフラストラクチャをブロックまたは監視し、アプリケーション制御を使用して許可されていないRMMバイナリの実行を防ぎます。

対応策

検出された場合、影響を受けたシステムを隔離し、悪意のあるプロセスを停止し、許可されていないRMMサービスを削除します。重要なアーティファクト(バイナリ、インストーラのトレース、ログ)を保存し、関連するC2ドメイン/IPをブロックし、侵害された可能性のある認証情報をリセットします。管理ツールの環境全体のインベントリを実施し、正当性を確認した後、レジストリの変更を修正し、Defenderの改ざんやセキュリティ制御の無効化の試みを元に戻します。

“graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[“<b>技術</b> – T1078 有効なアカウント<br/>リモートアクセスに使用された侵害されたベンダーSSL VPN認証情報。”] class step1 technique step2[“<b>技術</b> – T1021.001 リモートサービス: リモートデスクトッププロトコル<br/>ドメインコントローラーへのアクセスにRDP使用。”] class step2 technique step3[“<b>技術</b> – T1218.007 システムバイナリプロキシ実行: Msiexec<br/>従業員向けNet Monitor MSIを静かにインストール。”] class step3 technique tool_msiexec[“<b>ツール</b> – Msiexec<br/><b>目的</b>: MSIパッケージのインストール”] class tool_msiexec tool step4[“<b>技術</b> – T1036 偽装<br/>サービスがOneDriveSvcとして登録され、プロセスがOneDriver.exeに改名され、次にsvchost.exeに改名。”] class step4 technique step5[“<b>技術</b> – T1136.002 アカウント作成: ドメインアカウント<br/>組み込みの管理者が有効化され、新しいアカウントが作成されました。”] class step5 technique step5b[“<b>技術</b> – T1136.001 アカウント作成: ローカルアカウント”] class step5b technique step5c[“<b>技術</b> – T1098.007 追加のローカルまたはドメイングループ<br/>アカウントが特権グループに追加されました。”] class step5c technique step6[“<b>技術</b> – T1012 レジストリクエリ<br/>Windows Defenderを無効にするためにレジストリを修正しました。”] class step6 technique step6b[“<b>技術</b> – T1553 信頼コントロールの転覆<br/>セキュリティ制御を無効化しました。”] class step6b technique step7[“<b>技術</b> – T1059.001 PowerShell<br/>winpty-agent.exeを使用してvhost.exe(SimpleHelp)をダウンロード。”] class step7 technique tool_winpty[“<b>ツール</b> – winpty-agent.exe<br/><b>機能</b>: PowerShellペイロードダウンローダー”] class tool_winpty tool malware_simplehelp[“<b>マルウェア</b> – vhost.exe (SimpleHelp)”] class malware_simplehelp process step8[“<b>技術</b> – T1102 ウェブサービス<br/>HTTPSによる双方向および一方向通信を、ドメインフロンティングと共に。”] class step8 technique step8b[“<b>技術</b> – T1090.004 ドメインフロンティング<br/>dronemaker.orgや他のゲートウェイへのHTTPSトラフィック。”] class step8b technique step9[“<b>技術</b> – T1087.001 アカウント発見: ローカルアカウント<br/>netコマンドを介してローカルアカウントを列挙しました。”] class step9 technique step9b[“<b>技術</b> – T1087.002 アカウント発見: ドメインアカウント<br/>ドメインアカウントを列挙しました。”] class step9b technique step10[“<b>技術</b> – T1486 影響へのデータ暗号化<br/>Crazyランサムウェアの展開を試みました。”] class step10 technique malware_crazy[“<b>マルウェア</b> – Crazyランサムウェア”] class malware_crazy process step10b[“<b>技術</b> – T1027.009 不明瞭なファイルまたは情報: 埋め込まれたペイロード<br/>複数の暗号化されたバイナリ。”] class step10b technique step11[“<b>技術</b> – T1574.010 実行フローのハイジャック: サービスファイル権限の弱点<br/>正当であるかのように見せるようにバイナリやサービスが改名されました。”] class step11 technique %% Connections step1 u002du002d>|leads_to| step2 step2 u002du002d>|leads_to| step3 step3 u002du002d>|uses| tool_msiexec step3 u002du002d>|leads_to| step4 step4 u002du002d>|leads_to| step5 step5 u002du002d>|related_to| step5b step5b u002du002d>|related_to| step5c step5c u002du002d>|leads_to| step6 step6 u002du002d>|modifies| step6b step6b u002du002d>|leads_to| step7 step7 u002du002d>|uses| tool_winpty tool_winpty u002du002d>|downloads| malware_simplehelp malware_simplehelp u002du002d>|leads_to| step8 step8 u002du002d>|uses| step8b step8b u002du002d>|leads_to| step9 step9 u002du002d>|leads_to| step9b step9b u002du002d>|leads_to| step10 step10 u002du002d>|delivers| malware_crazy malware_crazy u002du002d>|related_to| step10b step10b u002du002d>|leads_to| step11 “

アタックフロー

シミュレーション実行

前提条件: テレメトリーとベースラインの事前チェックが通過している必要があります。

合理性: このセクションでは、検出ルールをトリガーする設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としています。

  • 攻撃のナラティブとコマンド:

    1. 準備: 攻撃者は、正当なWindowsバイナリ(calc.exe)を nmep_agtconfig.exeというファイルにコピーします。これは、SimpleHelpエージェントを示す監視されたサフィックスです。
    2. 実行: 改名されたバイナリが開始されると、Sysmonがプロセス作成イベントを記録し、 画像nmep_agtconfig.exe.
    3. で終わります 攻撃後の実行:

  • 攻撃者は、生成されたプロセス内でオプションでPowerShellのワンライナーを実行し、コマンドの実行をシミュレートします(T1059を示す)。しかし、この追加の動作はルールの発火に必要ではありません。

    # Simulation script – triggers the Sigma rule
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:Tempnmep_agtconfig.exe"

# Copy calc.exe to the masqueraded name
Copy-Item -Path $src -Destination $dst -Force

# Execute the masqueraded binary
$proc = Start-Process -FilePath $dst -PassThru

# Optional: within the same session, run a harmless command to generate command‑line telemetry
Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow

# Output PID for cleanup
Write-Output "Spawned PID: $($proc.Id)"

  • Cleanup Commands:

    # Terminate the masqueraded process if still running
Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force

# Remove the file from disk
Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加