AIをテーマにした脅威キャンペーンで配布されるAsyncRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
脅威アクターがAIをテーマにした誘引を利用して、マルチステージのマルウェア感染チェーンを拡散しています。この攻撃は、段階的スクリプト、AutoHotkeyベースのローダー、およびプロセスホローイングを組み合わせて、.NETリモートアクセス型トロイの木馬とAsyncRATの両方を展開します。このキャンペーンの注目すべき点は、マルウェア全体に埋め込まれた簡体字中国語の変数名とコードコメントに反映されたAIを活用した開発の明らかな使用です。
調査
FortiGuard Labsは、LNKファイルを含む悪意のあるZIPアーカイブから始まる複雑な侵入シーケンスを調査しました。彼らの分析は、PDFベースのコンテナからの複数段階のペイロード抽出と、AutoHotkey主導のリフレクティブインジェクション、そして最終的にはAsyncRATと共にモジュラーな.NET RATの展開を明らかにしました。研究者たちはまた、中国語による意味の抽象化や、マルウェアの動作を隠すために設計されたカスタムの復号化ロジックなど、明確な難読化方法を記録しました。
緩和策
ユーザーは特に未確認もしくは予期しない送信元から受信したLNKファイル、圧縮アーカイブ、および文書に注意を払うべきです。組織はスタートアップエントリ、スケジュールされたタスク、およびレジストリの場所について不正な変更がないか確認する必要があります。また、疑わしいPowerShellアクティビティや不審なアウトバウンドネットワーク接続の監視も、初期段階の侵害を特定するために不可欠です。
対応
この活動が検出された場合、対応者は %LOCALAPPDATA% and %APPDATA% ディレクトリを見直し、ドロップされたスクリプトや関連アーティファクトを特定すべきです。タスクスケジューラも、 CheckRealtekAudioVersion or ResetRealtekAudioSettings64のような疑わしいタスクを確認すべきです。影響を受けたシステムは、識別された悪意のあるドメインやIPアドレスとのさらなる通信を防ぐため、直ちに隔離すべきです。
攻撃フロー
検出
隠されたPowerShellコマンドラインによる実行の可能性(cmdline経由)
表示
AutoHotkeyスクリプト実行の試行の可能性(cmdline経由)
表示
LOLBAS WScript / CScript (プロセス作成経由)
表示
疑わしいPowershell文字列(powershell経由)
表示
PowerShellからの.NETメソッド呼び出し(powershell経由)
表示
PowerShell難読化の指標の可能性(powershell経由)
表示
AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (HashSha256)
表示
AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (SourceIP)
表示
AsyncRATを配信するためにAIの流行を武器化する脅威アクターを検出するためのIOCs (DestinationIP)
表示
RijndaelManaged暗号化を使用したAsyncRATのコマンドとコントロール [Windows Sysmon]
表示
AsyncRAT C2ドメイン通信の検出 [Windowsネットワーク接続]
表示
隠しウィンドウとセキュリティバイパスによるPowershellの疑わしい実行 [Windows Powershell]
表示
怪しいプロセス作成によるプロセスホローイングの検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインの事前チェックが成功している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと記述はTTPsに直接反映され、検出ロジックによって期待される正確なテレメトリーを生成することを目的とします。抽象的あるいは無関係な例は誤診につながります。
-
攻撃の概要とコマンド: 敵は初期アクセスを獲得し、AsyncRATを使用して持続的なコマンド&コントロール(C2)チャネルを確立する準備をしています。ネットワークに基づくシグネチャ検出を回避するために、攻撃者は
RijndaelManaged.NETクラスを使用してトラフィックを暗号化します。攻撃者はPowerShellのワンライナーを実行し、暗号化器をインスタンス化し、C2のハートビートを暗号化されたペイロードでラッピングすることを意図しています。このコマンドは特定の文字列ベースの検出ルールをトリガーするように設計されています。 -
回帰テストスクリプト:
# PowerShellでのAsyncRATスタイルの暗号化初期化のシミュレーション # このコマンドは、コマンドラインで 'RijndaelManaged.CreateEncryptor' という文字列にマッチするように設計されています。 $code = "[System.Security.Cryptography.RijndaelManaged]::CreateEncryptor()" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$encryptor = [System.Security.Cryptography.RijndaelManaged]::CreateEncryptor(); Write-Output 'Encryption engine initialized.'" -
クリーンアップコマンド:
# シミュレーションスクリプトによる永続的な変更は行われません; ただし、 # コマンドの痕跡を削除するためPowerShell履歴をクリアしています。 Clear-History Remove-Item (Get-PSReadlineOption).HistorySavePath -ErrorAction SilentlyContinue