フォローする 
概要
脅威アクターは、Google Formsを悪用して悪意のあるZIPアーカイブを配布し、最終的にPureHVNC RATをインストールしています。アーカイブには、DLLハイジャックを通じて実行される標的PDFと悪意のある実行可能ファイルおよびDLLペアが含まれています。起動されると、マルウェアはシステム偵察、データの窃取、レジストリ変更およびスケジュールされたタスクを使用した持続化の確立を行います。
調査
研究者たちはいくつかのキャンペーンのバリエーションを文書化し、msimg32.dllのDLLハイジャックの悪用を確認しました。彼らはMiroupdateレジストリランキーを通じた持続化、ProgramDataに最終的なZIPを投入する段階的な実行、Donutシェルコードを稼働する難読化されたPythonローダーを観察しました。最終段階では、PureHVNC RATがSearchUI.exeに注入されます。
緩和策
ユーザーは信頼できないGoogle Formsページや短縮リンクからファイルをダウンロードすることを避けるべきです。特にLinkedInを通じて配信されたフォームやURLの正当性を注意深く確認する必要があります。組織は、既知の悪意のあるファイル、ドメイン、ペイロード配信パスをブロックするためにURLフィルタリングとエンドポイント保護を強化すべきです。
対応
検出チームはmsimg32.dll、Miroupdateランキー、base64のPowerShellを含むスケジュールされたタスク、PureHVNCプロセスインジェクションの兆候を探す必要があります。悪意のあるZIPファイルは隔離されるべきで、持続性メカニズムを除去し、関連するすべてのインフラストラクチャドメインをブロックすべきです。
“graph TB
%% クラス定義
classDef technique fill:#e6f5ff
%% ノード定義
tech_user_exec[“技術 – T1204.001 ユーザー実行: 悪意のあるリンク
説明: ユーザーをだまして、悪意のあるコードの実行をもたらすリンクをクリックさせます。”]
class tech_user_exec technique
tech_dll_hijack[“技術 – T1574.001 実行フローのハイジャック: DLL
説明: 通常のDLL検索順序をハイジャックするか、サイドロード技術を使用して悪意のあるDLLをロードします。”]
class tech_dll_hijack technique
tech_user_activity[“技術 – T1497.002 仮想化/サンドボックス回避: ユーザー活動に基づくチェック
説明: (マウス、キーボード、ディスプレイ)のリアルなユーザー活動を確認して、サンドボックスまたは仮想環境で稼働しているかどうかを判断します。”]
class tech_user_activity technique
tech_rc_scripts[“技術 – T1037.004 起動またはログオン初期化スクリプト: RCスクリプト
説明: Unix系システム上で起動またはログインの際に持続性を獲得するためにRC(ランコントロール)スクリプトを修正または作成します。”]
class tech_rc_scripts technique
tech_scheduled_task[“技術 – T1053 スケジュールされたタスク/ジョブ
説明: 後でまたは定期的に悪意のあるコードを実行するスケジュールされたタスクまたはジョブを作成します。”]
class tech_scheduled_task technique
tech_powershell[“技術 – T1059.001 コマンドとスクリプトインタプリタ: PowerShell
説明: 被害者システムでコマンド、スクリプト、またはペイロードを実行するためにPowerShellを使用します。”]
class tech_powershell technique
tech_compress[“技術 – T1027.015 難読化ファイルまたは情報: 圧縮
説明: 検出を回避し、サイズを縮小するために悪意のあるファイルを圧縮またはパックします。”]
class tech_compress technique
tech_dynamic_api[“技術 – T1027.007 難読化ファイルまたは情報: 動的API解決
説明: 静的分析からコードの意図を隠すために、実行時にAPI呼び出しを解決します。”]
class tech_dynamic_api technique
tech_process_injection[“技術 – T1055 プロセスインジェクション
説明: 実行中の他のプロセスのアドレス空間に悪意のあるコードを注入します。”]
class tech_process_injection technique
tech_process_hollow[“技術 – T1055.012 プロセスインジェクション: プロセスホローイング
説明: 停止状態の正当なプロセスを作成し、そのメモリを悪意のあるコードで置き換えます。”]
class tech_process_hollow technique
tech_sysinfo[“技術 – T1082 システム情報の発見
説明: 被害者からオペレーティングシステム、ハードウェア、設定の詳細を収集します。”]
class tech_sysinfo technique
tech_browser_info[“技術 – T1217 ブラウザ情報の発見
説明: インストールされたブラウザ、拡張機能、設定を列挙し、さらなるクレデンシャル窃盗をサポートします。”]
class tech_browser_info technique
tech_browser_creds[“技術 – T1555.003 パスワードストアからのクレデンシャル: ウェブブラウザからのクレデンシャル
説明: ウェブブラウザから保存されたユーザー名とパスワードを抽出します。”]
class tech_browser_creds technique
tech_file_creds[“技術 – T1552.001 保護されていないクレデンシャル: ファイル内のクレデンシャル
説明: プレーンテキストまたは不十分な保護されたファイルに保存されたクレデンシャル素材をファイルシステム上で検索します。”]
class tech_file_creds technique
tech_private_keys[“技術 – T1552.004 保護されていないクレデンシャル: 秘密鍵
説明: 被害者を偽装するために使用可能な秘密鍵ファイルを特定します。”]
class tech_private_keys technique
tech_web_cookie[“技術 – T1550.004 代替認証手段の使用: ウェブセッションのクッキー
説明: パスワードを必要とせずにウェブサービスに認証するために、収穫したウェブセッションのクッキーを再利用します。”]
class tech_web_cookie technique
%% 接続
tech_user_exec –>|発動する| tech_dll_hijack
tech_dll_hijack –>|実行する| tech_user_activity
tech_dll_hijack –>|使用する| tech_rc_scripts
tech_rc_scripts –>|作成する| tech_scheduled_task
tech_scheduled_task –>|実行する| tech_powershell
tech_powershell –>|パックする| tech_compress
tech_compress –>|含む| tech_dynamic_api
tech_compress –>|可能にする| tech_process_injection
tech_process_injection –>|使用する| tech_process_hollow
tech_process_hollow –>|収集する| tech_sysinfo
tech_process_hollow –>|発見する| tech_browser_info
tech_process_hollow –>|窃盗する| tech_browser_creds
tech_process_hollow –>|窃盗する| tech_file_creds
tech_process_hollow –>|窃盗する| tech_private_keys
tech_process_hollow –>|活用する| tech_web_cookie
“
攻撃の流れ
検出
パワーシェルを通じたスケジュールタスク作成の可能性
表示
コマンドライン経由での一般的ではないディレクトリへの圧縮ユーティリティの使用
表示
疑わしいフォルダからのPythonの実行 (コマンドライン経由)
表示
隠されたPowerShellコマンドラインを通じた実行の可能性
表示
持続可能性のポイントの可能性 [ASEPs – Software/NTUSERハイブ] (レジストリイベント経由)
表示
デバイスに感染する可能性がある「求人概要」に対するIOC (SourceIP) の検出
表示
デバイスに感染する可能性がある「求人概要」に対するIOC (HashSha256) の検出
表示
デバイスに感染する可能性がある「求人概要」に対するIOC (DestinationIP) の検出
表示
PureHVNC WMIクエリ検出 [Windows Sysmon]
表示
Pythonスクリプトの実行によるPDFおよびZIP解凍の疑わしい実行 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリとベースラインの事前チェックが合格している必要があります。
説明: このセクションでは、検出ルールをトリガーするためにデザインされた敵の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリの生成を目指します。
-
攻撃の説明とコマンド:
オペレーターはエンドポイントを侵害し、PureHVNCを配置しました。このツールはシステム情報を取得するために3つの異なるWMIクエリを発行する隠されたPowerShellプロセスを起動します。SELECT Caption FROM Win32_OperatingSystem– OSバージョンを収集。SELECT * FROM AntiVirusProduct– インストールされているAV製品を列挙。SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')– 接続されたカメラおよびイメージングデバイスを発見。
クエリはwmicを使用して正当な管理活動と一体化しますが、正確な文字列は検出ルールの選択ブロックに一致します。
-
回帰テストスクリプト:
# PureHVNC WMIクエリシミュレーション – 検出ルールをトリガーします $queries = @( "SELECT Caption FROM Win32_OperatingSystem", "SELECT * FROM AntiVirusProduct", "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" ) foreach ($q in $queries) { # wmicでクエリを実行。wmicは標準出力に出力をプリントします wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>&$null # 各イベントが別々にログに記録されることを保証するために短い一時停止を強制 Start-Sleep -Milliseconds 500 } -
クリーンアップコマンド:
# 一時ファイルを削除し、残存しているwmicプロセスを終了します Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force # 上記のスクリプトにより持続的な成果物は生成されません。