FamousSparrow、アゼルバイジャンの石油・ガス部門を標的に

"グラフ TB %% クラス定義 クラス定義 action fill:#99ccff クラス定義 tool fill:#ffcc99 クラス定義 malware fill:#ff9999 クラス定義 technique fill:#e0e0e0 %% ノード定義 initial_access["<b>初期アクセス</b> – <b>T1210 リモートサービスの悪用</b><br/><b>テクニックID</b>: T1210<br/><b>説明</b>: Exchangeサーバーなどの脆弱なリモートサービスをProxyShellまたはProxyNotShellで悪用。"] クラス initial_access action persistence_webshell["<b>永続性</b> – <b>T1505.003 Webシェル</b><br/><b>テクニックID</b>: T1505.003<br/><b>説明</b>: 永続的アクセスのために侵害されたサーバーにWebシェルを展開。"] クラス persistence_webshell action malicious_service["<b>永続性</b> – <b>T1569 システムサービス</b><br/><b>テクニックID</b>: T1569<br/><b>説明</b>: 永続性のためにLogMeIn Hamachiとして偽装する悪意のあるサービスを作成。"] クラス malicious_service action tool_logmein["<b>ツール</b> – <b>名前</b>: LogMeIn Hamachi<br/><b>説明</b>: 偽装として使用される正当なVPNサービス。"] クラス tool_logmein tool execution_proxy["<b>実行</b> – <b>T1218 署名済バイナリ プロキシ実行</b><br/><b>テクニックID</b>: T1218<br/><b>説明</b>: 正当なシステムバイナリを使用して悪意のあるコードを起動。"] クラス execution_proxy action execution_masquerade["<b>実行</b> – <b>T1036 擬装</b><br/><b>テクニックID</b>: T1036<br/><b>説明</b>: 悪意のある実行ファイルをLMIGuardianSvc.exeとして名前を変更。"] クラス execution_masquerade action malware_lmi["<b>マルウェア</b> – <b>名前</b>: LMIGuardianSvc.exe<br/><b>説明</b>: 実行後に悪意のあるDLLをロード。"] クラス malware_lmi malware defense_reflective["<b>防御回避</b> – <b>T1620 反射的コード読み込み</b><br/><b>テクニックID</b>: T1620<br/><b>説明</b>: ディスクに接触せずにメモリにコードをロード。"] クラス defense_reflective action defense_processhollow["<b>防御回避</b> – <b>T1055.012 プロセスホロウィング</b><br/><b>テクニックID</b>: T1055.012<br/><b>説明</b>: 正当なプロセスメモリを悪意のあるコードで置き換え。"] クラス defense_processhollow action defense_threadhijack["<b>防御回避</b> – <b>T1055.003 スレッドハイジャック</b><br/><b>テクニックID</b>: T1055.003<br/><b>説明</b>: 実行中のプロセスのスレッドをハイジャック。"] クラス defense_threadhijack action defense_hide["<b>防御回避</b> – <b>T1564.010 アーティファクトの隠蔽</b><br/><b>テクニックID</b>: T1564.010<br/><b>説明</b>: 悪意のあるコンポーネントを検出から隠す。"] クラス defense_hide action payload_decrypt["<b>ペイロード処理</b> – <b>T1560.003 アーカイブの解凍</b><br/><b>テクニックID</b>: T1560.003<br/><b>説明</b>: 実行前にペイロードを復号化および解凍。"] クラス payload_decrypt action lateral_movement["<b>横移動</b> – <b>T1078 有効なアカウント</b><br/><b>テクニックID</b>: T1078<br/><b>説明</b>: 盗まれた資格情報を使用してRDPとSMB管理共有を介して横移動。"] クラス lateral_movement action tool_impacket["<b>ツール</b> – <b>名前</b>: Impacket<br/><b>説明</b>: ネットワークプロトコル用のPythonライブラリを使用してピボット。"] クラス tool_impacket tool c2_https["<b>コマンドとコントロール</b> – <b>T1071.001 Webプロトコル HTTPS</b><br/><b>テクニックID</b>: T1071.001<br/><b>説明</b>: 暗号化されたHTTPS経由でC2サーバーと通信。"] クラス c2_https action c2_contentinject["<b>コマンドとコントロール</b> – <b>T1659 コンテンツ注入</b><br/><b>テクニックID</b>: T1659<br/><b>説明</b>: 正当なHTTPレスポンスに悪意のあるコンテンツを注入。"] クラス c2_contentinject action impact_kernel["<b>インパクト</b> – <b>T1014 ルートキット</b><br/><b>テクニックID</b>: T1014<br/><b>説明</b>: 深い永続性のためにカーネルドライバTerndoorをインストールしようとする。"] クラス impact_kernel action %% 接続 initial_access –>|リードする| persistence_webshell persistence_webshell –>|リードする| malicious_service malicious_service –>|使用する| tool_logmein malicious_service –>|リードする| execution_proxy execution_proxy –>|使用する| execution_masquerade execution_masquerade –>|ロードする| malware_lmi malware_lmi –>|実行する| defense_reflective defense_reflective –>|実行する| defense_processhollow defense_processhollow –>|実行する| defense_threadhijack defense_threadhijack –>|実行する| defense_hide defense_hide –>|可能にする| payload_decrypt payload_decrypt –>|可能にする| lateral_movement lateral_movement –>|使用する| tool_impacket lateral_movement –>|リードする| c2_https c2_https –>|使用する| c2_contentinject c2_contentinject –>|可能にする| impact_kernel "

攻撃の流れ