フォローする 
概要
Microsoftサポートを装ったタイポスクワットウェブサイトが偽のWindows更新MSIを配布しています。インストールされると、MSIはVBSスターターをトリガーするElectronベースのアプリを配備し、名前が変更されたPythonインタープリタを起動し、資格情報窃盗モジュールを読み込みます。盗まれたデータはRender、Cloudflare Workers、GoFileを介してルーティングされ、永続性はRunレジストリキーとスタートアップショートカットを通じて設定されます。この活動はフランス語を話すユーザー向けにカスタマイズされています。
調査
研究者たちはWindowsUpdate 1.0.0.msiを入手し、Electronラッパー(WindowsUpdate.exe)とVBSランチャー(AppLauncher.vbs)をドロップすることを確認しました。Electronプロセスは非表示のPythonランタイム(_winhost.exe)を生成し、ブラウザの資格情報、Discordトークン、支払いデータを収集するための一般的な情報窃盗ライブラリをインポートします。ネットワークテレメトリは最初のホストプロファイリングを示しています www.myexternalip.com とip-api.comを経由し、続いてdatawebsync-lvmv.onrender.comとsync-service.system-telemetry.workers.devへのC2トラフィックが続き、store8.gofile.ioにエクスフルトレーションが観察されます。永続性はHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunにSecurityHealth値を作成し、ユーザーのスタートアップフォルダにSpotify.lnkを配置することによって確立されます。
緩和策
SecurityHealth Run値を削除し、ユーザーのスタートアップフォルダからSpotify.lnkを削除してください。AppDataLocalProgramsの下のWindowsUpdateディレクトリを削除し、一時的なWinGettoolsフォルダを削除します。保存されているパスワードをリセットし、MFA/2FAを有効にし、更新されたマルウェア対策を使用してフルスキャンを実行します。
対応
疑わしいMSI、VBSの実行、またはRunキーの作成に関するアラートがトリガーされた場合、ホストを隔離し、揮発性データをキャプチャし、関連するAppDataパスのフォレンジックトリアージを実行してください。特定されたC2ドメインをブロックし、リストされた偵察サービスへのトラフィックを追跡します。永続性アーティファクトを削除し、安全な更新ワークフローを強化して繰り返し実行を防ぎます。
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[“<b>アクション</b> – フィッシング: 悪意あるリンクをクリック”] class action_user_click action process_msiexec[“<b>プロセス</b> – MSI実行(msiexec)”] class process_msiexec process process_vbs[“<b>プロセス</b> – VBScript実行”] class process_vbs process process_electron[“<b>プロセス</b> – Electron偽装アプリ”] class process_electron process process_python[“<b>プロセス</b> – Python偽装プロセス”] class process_python process persistence_registry[“<b>永続化</b> – レジストリRunキー”] class persistence_registry persistence persistence_shortcut[“<b>永続化</b> – ショートカット自動実行”] class persistence_shortcut persistence collection_ip[“<b>収集</b> – 外部IP情報”] class collection_ip collection credential_browser[“<b>認証情報</b> – ブラウザパスワード”] class credential_browser credential credential_discord[“<b>認証情報</b> – Discordトークン”] class credential_discord credential defense_terminate[“<b>防御回避</b> – セキュリティプロセス終了”] class defense_terminate defense defense_obfuscation[“<b>防御回避</b> – 難読化JavaScript”] class defense_obfuscation defense c2_communicate[“<b>C2</b> – HTTP通信”] class c2_communicate c2 exfil_cloud[“<b>流出</b> – クラウドへ送信”] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud
攻撃フロー
検出
プロキシ経由のサードパーティサービス/ツールを介した可能性のあるデータ侵入/流失/C2
表示
dns経由の可能性のあるIPルックアップドメイン通信試行
表示
dns経由のサードパーティサービス/ツールを介した可能性のあるデータ侵入/流失/C2
表示
自動起動ロケーションでの疑わしいバイナリ/スクリプト(file_event経由)
表示
LOLBAS WScript / CScript(process_creation経由)
表示
可能な永続性ポイント[ASEPs – Software/NTUSER Hive](registry_event経由)
表示
検出のためのIOCs(HashSha256):この偽のWindowsサポートウェブサイトはパスワード窃盗マルウェアを配信します
表示
パスワードスティーラーマルウェアに関連する疑わしいネットワーク接続[Windowsネットワーク接続]
表示
偽のWindowsサポートサイトがパスワード窃盗マルウェアを配信[Windowsプロセス作成]
表示
偽のWindows Security Healthエントリを介したレジストリ永続性[Windowsレジストリエベント]
表示
シミュレーション実行
必須条件:テレメトリーとベースラインの事前チェックが合格している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された対戦技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出論理が期待する正確なテレメトリーを生成することを目的としています。
-
攻撃のナラティブとコマンド:
攻撃者はユーザーのワークステーションに足場を得て、再起動をまたいで永続性を維持しながら、簡単な検査を回避したいと考えています。彼らは WindowsUpdate.exe という名前の悪意あるペイロードをユーザーのAppDataフォルダにドロップし、次に SecurityHealth という名前のRunキーを作成してこのペイロードを指し示し、合法な「Windows Security Health」サービスを故意に模倣しています。 ルールはこのキーのパスを正確に監視しているため、この活動はフラグが立てられるべきです。powershell # 1. 悪意あるペイロードをドロップ(テストのための無害なテキストファイルでシミュレート) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "これはテスト用のダミー悪意ある実行可能ファイルです。" -Encoding ASCII # 2. SecurityHealthとして見せかける悪意あるRunキーを作成 $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
回帰テストスクリプト:
powershell # ------------------------------------------------- # 回帰テスト – レジストリエ永続性擬装 # ------------------------------------------------- # 目的:Sigmaルールが期待する正確なテレメトリーを再現します。 # Windows 10/11で管理者権限で動作します。 # ペイロードの場所を定義 $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # ディレクトリが存在することを確認 if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # ダミーの実行可能ファイルを作成(実際のテストでは悪意あるバイナリであることを前提) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # 擬装された名前でRunキーを登録 $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "悪意あるRunキーが作成されました。間もなく検出アラートが期待されます。" # ------------------------------------------------- -
クリーンアップコマンド:
powershell # 悪意あるRunキーを削除 Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # ダミーペイロードファイルとそのフォルダを削除 $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップ完了。"