フォローする 
概要
Proofpointは、2026年2月のイランでの攻撃後に、イラン、中国、パキスタン、ベラルーシ、その他の国家と連携する脅威アクターに関連したスパイ活動とフィッシング活動の増加を報告しました。敵対者は政府省庁、外交組織、シンクタンクを中東と米国全体で攻撃するために、紛争をテーマにした誘因を使用しました。これらの作戦は、資格情報フィッシング、悪意のあるLNKファイル、DLLサイドローディング、Cobalt Strikeペイロードを使用して、侵害されたメールアカウントとクラウドホスティングインフラストラクチャを通じて配信されました。検出の取り組みは、悪意のあるOfficeショートカット、偽のOneDriveスタイルのログインページ、既知のマルウェアローダーの疑わしい使用を優先すべきです。
調査
Proofpointは6つの別々のキャンペーン(UNK_InnerAmbush、TA402、UNK_RobotDreams、UNK_NightOwl、TA473、TA453)を追跡しました。これらのキャンペーンは、メールの侵害、武器化されたアーカイブ、および悪意のあるリンクを使用して、最終的にCobalt Strikeを起動するローダーを配信しました。研究者は、メールアドレス、ドメイン、URL、ファイル名、ファイルハッシュを含む指標をカタログ化しました。可能な限り、報告書は観測されたインフラストラクチャを以前に文書化された公開報告とマッピングしました。
緩和策
組織は、メールおよびクラウドプラットフォームにMFAを要求し、既知の悪意のあるドメインおよびURLをブロックし、LNK実行および予期しないDLL読み込み活動を監視するべきです。メールセキュリティの管理機能は、LNKおよびアーカイブベースの配信の添付ファイルを検査すべきであり、脅威のハンティングは特にCobalt Strikeビーコンの行動と異常なPowerShell実行を強調するべきです。
対応策
もし疑わしいLNK、悪意のあるアーカイブ、またはCobalt Strikeビーコンが識別された場合、ホストを隔離し、揮発性証拠を収集し、即座にインシデント対応を開始します。関連するコマンド・アンド・コントロールドメインおよびIPアドレスをブロックし、侵害されたアカウントをリセットし、持続するメカニズムを特定するための完全なフォレンジック調査を実施します。
グラフ TB
%% クラス定義セクション
classDef action fill:#99ccff
classDef artifact fill:#ffcc99
classDef process fill:#ffeb99
classDef malware fill:#ff9999
classDef service fill:#ccffcc
classDef credential fill:#dddddd
%% ノード – アクション (テクニック)
action_phishing_spear[“アクション – T1566.001フィッシング:スピアフィッシング添付ファイル
説明:開くとコードを実行する悪意のあるZIPまたはLNK添付ファイルを送信します。
信頼性:高”]
class action_phishing_spear action
action_execution_ps[“アクション – T1059.001 PowerShell
説明:追加のペイロードをダウンロードして実行するためにPowerShellを使用します。
信頼性:高”]
class action_execution_ps action
action_defense_proxy[“アクション – T1218システムバイナリプロキシ実行
説明:署名されたバイナリ(nvdaHelperRemoteLoader.exe)を介して悪意のあるDLLをロードします。
信頼性:高”]
class action_defense_proxy action
action_c2_web[“アクション – T1102.002ウェブサービス:双方向通信
説明:Azure Front DoorやOneDriveなどのウェブサービスを使用してC2ホストと通信します。
信頼性:高”]
class action_c2_web action
action_persistence_account[“アクション – T1098アカウント操作 & T1078有効なアカウント
説明:侵害されたメールアカウントを使用して足場を保持し、さらにフィッシングを送信します。
信頼性:高”]
class action_persistence_account action
action_phishing_additional[“アクション – T1566フィッシング(追加)
説明:OWA/OneDriveの偽の資格情報の収集ページをホストします。
信頼性:高”]
class action_phishing_additional action
%% ノード – アーティファクト
artifact_zip[“アーティファクト – 悪意のあるZIP添付ファイル
内容:埋め込まれたペイロードを含むLNKとPDFファイル”]
class artifact_zip artifact
artifact_lnk[“アーティファクト – LNKファイル(nvdaHelperRemoteLoader.exe)”]
class artifact_lnk artifact
artifact_ps_script[“アーティファクト – ダウンロードに使用されるPowerShellスクリプト”]
class artifact_ps_script artifact
artifact_dll[“アーティファクト – 悪意のあるDLL(nvdaHelperRemote.dll)”]
class artifact_dll malware
%% ノード – プロセス / ツール
process_loader[“プロセス – nvdaHelperRemoteLoader.exe(署名されたバイナリ)”]
class process_loader process
process_powershell[“プロセス – ダウンロードスクリプトを実行するPowerShell.exe”]
class process_powershell process
%% コマンド & コントロール サービス
service_c2_almer[“サービス – support.almersalstore.com(C2ドメイン)”]
class service_c2_almer service
service_c2_azure[“サービス – Azure Front Door ホスト”]
class service_c2_azure service
service_c2_onedrive[“サービス – OneDriveファイルリンク(C2)”]
class service_c2_onedrive service
%% ノード – 資格情報 / アカウント
credential_email[“資格情報 – 侵害された政府メールアカウント”]
class credential_email credential
%% 接続 – 攻撃フロー
action_phishing_spear –>|配信する| artifact_zip
artifact_zip –>|含む| artifact_lnk
artifact_lnk –>|実行する| process_loader
process_loader –>|使用する| action_defense_proxy
action_defense_proxy –>|ロードする| artifact_dll
artifact_dll –>|有効化する| action_execution_ps
action_execution_ps –>|実行する| process_powershell
process_powershell –>|ペイロードをダウンロードする| artifact_ps_script
process_powershell –>|通信する| service_c2_almer
process_powershell –>|通信する| service_c2_azure
process_powershell –>|通信する| service_c2_onedrive
service_c2_almer –>|サポートする| action_persistence_account
service_c2_azure –>|サポートする| action_persistence_account
service_c2_onedrive –>|サポートする| action_persistence_account
action_persistence_account –>|使用する| credential_email
credential_email –>|送信する| action_phishing_additional
action_phishing_additional –>|ホストする| artifact_zip
攻撃フロー
検出
自動起動位置での疑わしいバイナリ/スクリプト(file_event経由)
表示
公開ユーザープロファイルでの疑わしいファイル(file_event経由)
表示
サードパーティサービス/ツールを介した可能なデータ侵入/流出/C2(dns経由)
表示
アーカイブから抽出された疑わしいファイル(file_event経由)
表示
可能性のあるNvdaHelperRemote DLLサイドローディング試行(image_load経由)
表示
疑わしいCURL使用法(cmdline経由)
表示
サードパーティサービス/ツールを介した可能なデータ侵入/流出/C2(proxy経由)
表示
非一般的なプロセスによるGoogle Docsドメインの解決の可能性(dns_query経由)
表示
仮想ハードディスクファイルが作成されました(file_event経由)
表示
検出するためのIOC(HashSha256):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす
表示
検出するためのIOC(SourceIP):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす
表示
検出するためのIOC(DestinationIP):イラン紛争が中東のターゲットに対してスパイ活発化を引き起こす
表示
nvdaHelperRemoteLoader.exeとVLCMediaPlayer.exeの疑わしい実行の検出 [Windows プロセスの作成]
表示
UNK_InnerAmbushおよびUNK_RobotDreamsキャンペーンに関連するC&Cドメインの検出 [Windows ネットワーク接続]
表示
シミュレーション実行
前提条件:テレメトリー&ベースラインの事前準備チェックが合格している必要があります。
理由:このセクションでは、検出規則をトリガーするために設計された敵対者のテクニック(TTP)の正確な実行について詳細を述べています。コマンドとナラティブは、確実に特定されたTTPと直接一致し、検出ロジックによって期待される正確なテレメトリーを生成することを目指さなければなりません。
-
攻撃のナラティブ&コマンド:
敵対者は、侵害されたコピーを入手しましたnvdaHelperRemoteLoader.exe悪意のあるDLL(evil.dll)が埋め込まれています。彼らはバイナリをC:Tempに配置し、スケジュールされたタスク(T1546.009)を介して実行をトリガーするショートカットを作成します。同時に、署名されたバイナリを濫用しますVLCMediaPlayer.exe(T1218)を使用して、ホストのフィンガープリンティングを実行するPowerShellペイロードを起動します。両方のバイナリは、プロセス作成イベントに正確な実行可能名を含めるため、直接起動されます。 -
回帰テストスクリプト:
# ------------------------------------------------- # シミュレーションスクリプト – 両方の検出をトリガーする # ------------------------------------------------- # 実行フォルダを設定 $binPath = "C:Temp" # 1. 悪意のあるnvdaHelperRemoteLoader.exe(プレースホルダコピー)をデプロイ $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <-- 実際のサンプルに置き換える Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. 悪意のあるVLCMediaPlayer.exe(プレースホルダコピー)をデプロイ $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <-- 実際のサンプルに置き換える Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. nvdaHelperRemoteLoader.exeを実行(DLLサイドローディングをシミュレーション) Write-Host "nvdaHelperRemoteLoader.exeを起動しています..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. VLCMediaPlayer.exeを実行し、フィンガープリンティングのPowerShellワンライナーを実行 $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "PowerShellペイロードでVLCMediaPlayer.exeを起動します..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg "powershell -Command `$psCmd" " " ` -WindowStyle Hidden Write-Host "シミュレーションが完了しました。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# 残存するテストプロセスを停止 Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # テストバイナリを削除 Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップが完了しました。"