APT15サイバー諜報活動:キャンペーンとTTP分析
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
APT15は、2010年から活動している中国の国家支援によるサイバー諜報グループで、主に政府機関や外交施設、軍事組織をターゲットとしています。このアクターは、標的型フィッシング、公開アプリケーションの悪用、カスタムバックドアに依存して初期アクセスを取得し、長期的な足場を維持しています。彼らのツールキットには、ステガノグラフィ、偽装、レジストリ操作、HTTPヘッダーやDNSトラフィックに埋め込まれた暗号化されたC2チャンネルが含まれています。このキャンペーンは、GraphicanやORB3リレーネットワークのような新しいツールとともに進化し続けています。
調査
調査では、BS2005、TidePool、MirageFox、Graphicanなどの複数のマルウェアファミリーと、初期アクセス、実行、持続性、特権昇格、防御回避、資格情報アクセス、発見、収集、データ流出、コマンド・アンド・コントロールにおよぶ包括的なATT&CK技術セットをマッピングしました。アナリストはケースデータからドメイン、ファイルパス、レジストリキー、コマンドラインなどの具体的な指標を抽出しました。グループのインフラは、 goback.stranged.net and finance.globaleducat.com のようなドメインをC2操作に活用しています。
緩和策
推奨される防御策には、メール添付ファイルの厳密なスキャン、Microsoft Exchange、SharePoint、VPNアプライアンスの迅速なパッチ適用、疑わしいレジストリの変更や異常なスケジュールタスク、rundll32やCOMベースのペイロード実行の監視が含まれます。ネットワーク監視は、既知のC2パターンに一致する非定型のHTTPクッキー活動とDNS TXTクエリに焦点を当てる必要があります。アプリケーションのホワイトリスト化と行動分析は、名前を変更した圧縮プログラムやステガノグラフィーに基づくPNGペイロードの使用をブロックするのに役立ちます。
対応
APT15の活動が検出された場合、影響を受けたホストを隔離し、揮発性データと関連するIOCアーティファクトをすべてキャプチャし、特定されたC2ドメインとIPアドレスをブロックします。持続性のあるショートカット、スケジュールされたタスク、レジストリの変更を特定するために完全なフォレンジック分析を行い、悪意のあるコンポーネントを排除し、侵害された資格情報をリセットします。影響を受けたユーザーに通知し、観察されたコマンドライン、ファイルパス、インフラ指標をカバーするように検出ルールを更新します。
攻撃フロー
検出
コマンドおよびスクリプトインタープリターを介したアーカイブソフトウェアの実行(プロセス作成経由)
表示
疑わしいPowershell文字列(powershell経由)
表示
疑わしいPowershell文字列(cmdline経由)
表示
オートスタート位置での疑わしいバイナリ/スクリプト(ファイルイベント経由)
表示
ドキュメント収集のための可能なXCOPY実行(cmdline経由)
表示
レジストリランキーへの疑わしいファイル拡張子の追加 [ASEPs](レジストリエベント経由)
表示
IOC(メール)で検出: APT15サイバー諜報:キャンペーンとTTP分析
表示
APT15コマンド実行および持続技術の検出 [Windowsプロセス作成]
表示
特定のHTTPヘッダーを介したAPT15のC2通信を検出 [Windowsネットワーク接続]
表示
シミュレーション実行
必要条件: テレメトリとベースラインの事前フライトチェックが通過している必要があります。
攻撃の概要とコマンド:
- 準備: 攻撃者はすでにユーザーアカウントを侵害し、エンドポイントにアクセスしています。
- データステージング (T1059.003): パターンと正確な
xcopyに従い、攻撃者は犠牲者のデスクトップファイルを隠れたWMI一時フォルダにコピーし、合法的なシステム活動と統合するためにタイムスタンプを維持します(/D:09-29-2021)。 - ペイロードの実行 (T1218.002): その後、攻撃者は
rundll32.exeを短い名前のパスで呼び出し(C:DOCUME~1ALLUSE~1IEHelpermshtml.dll)、持続性を確立する悪質なJavaScriptを実行します。 - 結果: 両方のコマンドは、Sigmaルールの
選択1and選択2にそれぞれ一致する独自のプロセス作成イベントを生成し、警告をトリガーします。
回帰テストスクリプト:
# -------------------------------------------------
# APT15シミュレーションスクリプト – Sigmaルールをトリガー
# -------------------------------------------------
# 1. ステージングディレクトリとダミーファイルを作成
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "敏感なデータ" -Encoding UTF8
# 2. APT15によって使用される正確なxcopyコマンドを実行
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. 悪意のあるDLLをデプロイ(合法的なDLLをコピーしてシミュレート)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. 正確なAPT15引数パターンでrundll32を実行
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# シミュレーションの終了
# -------------------------------------------------
クリーンアップコマンド:
# ステージングファイルとディレクトリを削除
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# 偽のIEHelperフォルダーとDLLを削除
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# オプション: Sysmonを停止(テスト専用の場合)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u