フォローする 
概要
脅威アクターは、AI駆動のウェブサイトビルダーを使用して、ブラジルの銀行ブランドを模倣した説得力のあるフィッシングページを作成しています。これらのページは、偽のCAPTCHAチェックやシステム復旧メッセージを使用して被害者に悪意のあるPowerShellコマンドを実行させるClickFix技術に依存しています。その結果として、リモートアクセスと金融情報の盗難を目的としたPowerShellベースのバンキングトロイの木馬であるSmartRATが配信されます。
調査
Zscaler ThreatLabzは、複数のタイポスクワッティングドメインを特定し、AI生成のコードコメントや検査をかわすスクリプトを観察しながら、完全な感染チェーンを分析しました。また、AI構築のコマンド&コントロールパネルにおける認証回避がクライアント側の localStorage の操作を通じて可能であるという弱点も露呈されました。研究者はさらに、SmartRATの通信プロトコルを解読し、AES-CBC暗号化の使用を文書化しました。
軽減策
組織は、既知のタイポスクワッティングや悪意のあるドメインをブロックするためのウェブフィルタリングを展開するべきです。エンドポイントの防衛は、疑わしいPowerShellアクティビティや無許可のスケジュールされたタスクの作成を検出し、制限するように設定されるべきです。また、ユーザーの認識努力として、従業員に偽のブルースクリーンやリカバリ、CAPTCHAプロンプトなど、ClickFixスタイルのソーシャルエンジニアリングを認識する方法を教えるべきです。
対応
SmartRATの活動が検出された場合、影響を受けたエンドポイントを直ちに隔離してコマンド&コントロール通信を停止し、さらなる移動を制限します。フォレンジック分析を実施して、サービスベースかスケジュール・タスクベースかの持続性の方法を特定し、関連するアーティファクトとして msedgeupdate.txtを検索します。識別されたインフラストラクチャに対するトラフィックのためのウェブプロクシログをレビューし、影響を受けたユーザーのために資格情報のリセットを開始します。
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Initial Access and Execution Phase action_phishing["<b>Action</b> – <b>T1566 フィッシング</b><br/>脅威アクターはタイポスクワッティングドメインや<br/>AI生成のウェブサイトを使用して被害者を誘い込みます。"] class action_phishing action action_clickfix["<b>Action</b> – <b>T1204.004 ユーザー実行: 悪意のあるコピーとペースト</b><br/>ユーザーを騙して悪意のある<br/>PowerShellコマンドをWindowsの実行ボックスに貼り付けさせます。"] class action_clickfix action action_ingress["<b>Action</b> – <b>T1105 イングレスツール転送</b><br/>リモートIP64.95.13.238から<br/>ステルスなドロッパー st.txt をダウンロードします。"] class action_ingress action tool_dropper["<b>ツール</b> – <b>名前</b>: st.txt<br/><b>説明</b>: メインのマルウェア配信を支援するために<br/>使用されるステルスなドロッパー。"] class tool_dropper tool %% マルウェア実行と持続化フェーズ malware_smartrat["<b>マルウェア</b> – <b>名前</b>: SmartRAT<br/><b>説明</b>: 監視と金融データの盗難に使用されるメインのRAT。"] class malware_smartrat malware action_user_exec_file["<b>Action</b> – <b>T1204.002 ユーザー実行: 悪意のあるファイル</b><br/>メインのSmartRATマルウェアを実行。"] class action_user_exec_file action action_gather_info["<b>Action</b> – <b>T1592.001/002 被害者ホスト情報の取得</b><br/>ハードウェア、ソフトウェア、OSの詳細を収集し、<br/>ユニークなIDトークンを生成します。"] class action_gather_info action action_persistence_service["<b>Action</b> – <b>T1543.003 システムプロセスの作成または変更: Windowsサービス</b><br/>持続化のために MicrosoftEdgeUpdateCore という名称の<br/>Windowsサービスを作成します。"] class action_persistence_service action action_persistence_registry["<b>Action</b> – <b>レジストリランキーを使用した持続化</b><br/>アクセスを維持するためにレジストリランキーを使用します。"] class action_persistence_registry action action_priv_esc["<b>Action</b> – <b>T1548 特権昇格</b><br/>UACの昇格を促すことで <br/>SYSTEM の特権でサービスを実行します。"] class action_priv_esc action %% コマンド&コントロールと流出フェーズ action_c2["<b>Action</b> – <b>T1071 コマンド&コントロール</b><br/>非標準ポート51888で<br/>生TCPソケットを利用します。"] class action_c2 action action_exfiltrate["<b>Action</b> – <b>T1041 C2チャネルを経由した流出</b><br/>確立されたC2接続を通じて<br/>金融データを盗みます。"] class action_exfiltrate action %% ポストエクスプロイトと回避フェーズ action_video_capture["<b>Action</b> – <b>T1125 ビデオキャプチャ</b><br/>監視のために画面ストリーミングを行います。"] class action_video_capture action action_input_tracking["<b>Action</b> – <b>T1056 入力トラッキング</b><br/>キーロギングを使用してユーザー入力を監視します。"] class action_input_tracking action action_mfa_interception["<b>Action</b> – <b>T1111 多要素認証の傍受</b><br/>ブランド化された偽のオーバーレイを使用してMFAトークンを盗みます。"] class action_mfa_interception action action_masquerading["<b>Action</b> – <b>T1036 偽装</b><br/>msedge.txtのようなダミーのファイル名を使用して検出を回避します。"] class action_masquerading action action_file_deletion["<b>Action</b> – <b>T1070.004 インジケーターの除去: ファイル削除</b><br/>アンインストールコマンドを使用してフォレンジックの足跡を削減します。"] class action_file_deletion action %% Connection Flow action_phishing –>|leads_to| action_clickfix action_clickfix –>|leads_to| action_ingress action_ingress –>|downloads| tool_dropper tool_dropper –>|executes| action_user_exec_file action_user_exec_file –>|launches| malware_smartrat malware_smartrat –>|performs| action_gather_info malware_smartrat –>|establishes| action_persistence_service malware_smartrat –>|establishes| action_persistence_registry malware_smartrat –>|attempts| action_priv_esc action_priv_esc –>|enables| action_c2 action_c2 –>|used_for| action_exfiltrate action_c2 –>|used_for| action_video_capture action_c2 –>|used_for| action_input_tracking action_c2 –>|used_for| action_mfa_interception malware_smartrat –>|uses| action_masquerading malware_smartrat –>|performs| action_file_deletion "
攻撃フロー
検出
可能な持続性ポイント [ASEPs – ソフトウェア/NTUSER ハイブ] (レジストリイベント経由)
表示
PowerShellを使用したダウンロードまたはアップロード (cmdline経由)
表示
PowerShellからの疑わしい.NETメソッドの呼び出し (powershell経由)
表示
PowerShellからの疑わしいWindows API関数の呼び出し (powershell経由)
表示
公共ユーザー プロファイル内の疑わしいファイル (file_event経由)
表示
SmartRAT PowerShell実行をPowerShell ScriptBlockTextで検出 [Windows Sysmon]
表示
Scheduled TaskとRegistry ModificationによるSmartRATの持続性 [Windowsプロセス作成]
表示
SmartRATが使用するPowerShellコマンドと技術の検出 [Windows Powershell]
表示
## シミュレーション実行
前提条件: テレメトリ & 基準プレライト チェックがパスしている必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された対抗テクニック (TTP) の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映する必要があり、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。抽象的または関連性のない例は誤診につながります。
-
攻撃のナラティブ & コマンド: 敵はフィッシングキャンペーン (T1566) によって初期アクセスを成功裏に獲得し、現在は持続性を確立しようとしています。合法的なシステム活動に溶け込むため、攻撃者は”Living-off-the-Land” アプローチを使用し、Microsoft Edgeの更新プロセスとして偽装された悪意のあるコマンドを実行します (T1036)。攻撃者は、次のような文字列を含むコマンドライン指令を実行し、
msedgeupdate.txtホールドワールドシミュレーションメカニズムをトリガーします。実際のシナリオでは、スケジュールされたタスクまたはサービスの作成を含みます。 -
回帰テスト スクリプト:
# SmartRAT持続性シミュレーションスクリプト # このスクリプトは、検出ルールをトリガーするために必要な特定のコマンドラインテレメトリを生成します。 $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # コマンドラインを少しリアルに見せるためのダミーファイルを作成 New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Comando simulando la persistencia de SmartRAT a través de la línea de comando: $TargetString" -ForegroundColor Cyan # 検出ロジックをトリガーするコマンドを実行 Start-Process cmd.exe -ArgumentList "/c echo 'Simulating SmartRAT activity with $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] コマンド実行完了。" -ForegroundColor Green -
クリーンアップ コマンド:
# シミュレーション中に作成されたダミーファイルをクリーンアップ Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] クリーンアップ完了。" -ForegroundColor Yellow