フォローする 
概要
このレポートは、2024年から2026年にかけてAPT28がPixyNetLoaderマルウェアファミリーをどのように進化させたかを調査します。このローダーは、悪意のあるOfficeドキュメントを通じて配信され、 CVE-2026-21509 を悪用し、PNGファイルからのLSBステガノグラフィを使用して隠されたペイロードを抽出するCOM登録されているDLLをインストールします。そのペイロードは、FILENクラウドサービスを介して通信するCovenant Gruntインプラントです。研究者たちは4つの異なるPixyNetLoaderサブファミリーを特定し、バリアント全体での検出を支援するための統一されたYARAルールを作成しました。
調査
アナリストは約90のマルウェアサンプルを調査し、共有機能とリッチヘッダーハッシュパターンに基づいて4つのサブファミリーに分類しました。2026年3月に導入された新しいバリアントは新しいステガノグラフィ手法を追加し、AES暗号化されたヘッダーとPBKDF2を使用したキー派生を含みました。この調査では、マルウェアが使用する関連ファイルパス、レジストリキー、DLLエクスポート名も文書化し、ファミリー全体での一般的な機能のためのYARAシグネチャを作成しました。
緩和策
防御者は、不明なDLLの疑わしいCOM登録、マルウェアに関連する特定のCLSID関連レジストリキー、および既知のステージング場所でのPNGファイルの展開を監視する必要があります。ネットワーク防御は、FILENサービスへのトラフィックや、YARAルールで説明されているLSBステガノグラフィパターンと一致するペイロード特性を検査する必要もあります。組織は、 CVE-2026-21509 に対するパッチを適用し、リスキーなOfficeマクロの実行を制限または無効化して露出を減らすべきです。
対応
PixyNetLoaderの活動が検出された場合、影響を受けたエンドポイントを分離し、悪意のあるDLLと関連するPNGファイルを削除し、妥協したCOM登録をリセットしてください。調査者は抽出されたCovenant Gruntペイロードと関連するネットワークログを収集し、SlimAgentやGraphiteのような関連するAPT28ツールを探す必要があります。検出コンテンツは更新され、マクロ制限は環境全体で一貫して強制されるべきです。
攻撃フロー
この部分はまだ更新中です。通知を受け取るためにサインアップしてください
通知を受け取る検出
Explorer COMハイジャックの可能性 (via registry_event)
表示
Outlookをベースにした持続性の可能性 (via registry_event)
表示
潜在的に疑わしいスケジュールされたタスクの作成、実行、削除の振る舞い (via process_creation)
表示
疑わしいTaskkillの実行 (via cmdline)
表示
Search / Search-MS URIプロトコルハンドラーの乱用の可能性 (via cmdline)
表示
Schtasksが指す疑わしいディレクトリ / バイナリ / スクリプト (via cmdline)
表示
LOLBAS Regsvr32 (via cmdline)
表示
サードパーティのサービス/ツールを介したデータの流入/流出/C2の可能性 (via cmdline)
表示
Explorer COMハイジャックの可能性 (via file_event)
表示
Outlookをベースにした持続性の可能性 (via file_event)
表示
Windowsハックツールの使用が考えられる [Part1] (via file_event)
表示
サードパーティサービス/ツールを介したデータの流入/流出/C2の可能性 (via dns_query)
表示
疑わしいスケジュールされたタスク (via audit)
表示
サードパーティサービス/ツールを介したデータの流入/流出/C2の可能性 (via proxy)
表示
サードパーティサービス/ツールを介したデータの流入/流出/C2の可能性 (via dns)
表示
検出するためのIOC(HashSha256):APT28 PixyNetLoaderの追跡:2024年から2026年の進化 Part 5
表示
検出するためのIOC(HashSha256):APT28 PixyNetLoaderの追跡:2024年から2026年の進化 Part 4
表示
検出するためのIOC(HashSha256):APT28 PixyNetLoaderの追跡:2024年から2026年の進化 Part 3
表示
検出するためのIOC(HashSha256):APT28 PixyNetLoaderの追跡:2024年から2026年の進化 Part 2
表示
検出するためのIOC(HashSha256):APT28 PixyNetLoaderの追跡:2024年から2026年の進化 Part 1
表示
検出するためのIOC(HashMd5):APT28 PixyNetLoaderの追跡:2024年から2026年
表示
PixyNetLoaderステガノグラフィPNGファイルを検出する [Windowsファイルイベント]
表示
シミュレーション実行
前提条件:テレメトリーとベースラインのプレフライトチェックが合格している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された敵技術の正確な実行について詳述しています。コマンドとナラティブは、識別されたTTP(戦術、技術、手順)を直接反映させ、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃のシナリオとコマンド:
APT28のオペレーターが悪意のあるペイロード(例:PowerShellバックドア)を取得し、カスタムステガノグラフィツールを使用してPNGに埋め込みます。その後、オペレーターは作成されたPNGを既知のPixyNetLoaderドロップ場所の1つにコピーします(SplashScreen.png)。ファイルの書き込みがSigmaルールに一致するWindowsセキュリティ監査イベント(4663)を生成し、アラートが発生します。攻撃者は通常のユーザーデータと調和するためにPNGという生存型のファイルタイプを利用し、エンドポイントのAVシグネチャを回避します。 -
回帰テストスクリプト:
# -------------------------------------------------------------- # PixyNetLoaderステガノグラフィPNGシミュレーション – 検出をトリガー # -------------------------------------------------------------- # 1. ターゲットパスを定義(3つの監視場所の1つを選択) $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" # 2. 最小限のPNGヘッダーを構築(8バイト) – 実際の攻撃では、 # ステガノグラフィ的に隠されたペイロードが含まれている。 $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A) # 3. ダミーペイロードを追加(例:base64エンコードされたPowerShellスクリプト) $payload = [Text.Encoding]::ASCII.GetBytes( "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg==" ) # Base64 of: POST "exec "cat .ext"" > "Payload" $fileBytes = $pngHeader + $payload # 4. 作成されたPNGをターゲット場所に書き込む [IO.File]::WriteAllBytes($targetPath, $fileBytes) Write-Host "Malicious PNG deployed to $targetPath" -
クリーンアップコマンド:
# ホストを復元するために悪意のあるPNGを削除 $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png" if (Test-Path $targetPath) { Remove-Item -Path $targetPath -Force Write-Host "Removed $targetPath" } else { Write-Host "File not found – nothing to clean." }