KimJongRATが信頼できるサイトを利用して進化を続ける
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
最近のKimJongRATキャンペーンでは、GitHubのリリースとGoogle Driveを信頼されたプラットフォームとして利用し、マルウェアをホストおよび配信していることが観察されました。この更新されたバリアントは、InfoStealerとRATの機能を組み合わせ、Living Off Trusted Sites(LOTS)技術に頼ることで検出の可能性を低くしています。また、Google Driveからコマンドアンドコントロールアドレスを動的に取得するように進化しており、再コンパイルの必要性を減らしています。
調査
調査では、2026年5月のキャンペーンが検討され、被害者は短縮リンクを通じてGitHubにホストされている悪意のあるLNKファイルを含むZIPアーカイブにリダイレクトされました。研究者は、実行チェーンをマッピングし、次を悪用していることを含めました: mshta.exe、VBScript、およびPowerShellを使用してマルチステージのペイロードを起動。分析では、長期的なリモートアクセスのためにMeshAgentを展開する新しい能力も明らかになりました。
緩和策
組織は、LNKファイルの実行に対する厳格な管理と mshta.exe 信頼されていない場所から取得された場合においても確実に行うべきです。独自にエンコードされたコマンドや、Google DriveやGitHubなどのクラウドサービスからのダウンロードを含む疑わしいPowerShell動作の監視は重要です。MeshAgentなどの許可されていないリモート管理ツールの制限は、さらなる侵害の影響を制限することができます。
対応
この活動が検出された場合、横方向への移動とデータ流出を防ぐためにすぐに影響を受けたホストを隔離します。メモリフォレンジックを実行して、アクティブな悪意あるDLLやPowerShellコンポーネントを特定します。特定されたインフラに関連するGoogle DriveおよびGitHubのアクセスログを確認して、異常な活動を調査し、侵害指標から抽出された情報を使用してエンドポイント検出を更新します。
"フローチャート TD step_initial_access["T1566.001 & T1566.002 u2013 フィッシング: スピアフィッシングの添付/リンク: GitHubから税務書類.zipをダウンロードするために短縮URLを利用した誘導"] step_user_execution["T1204.002 u2013 ユーザー実行: マルウェアファイル: 抽出されたZIPから悪意のあるLNKファイルを開く"] rules_for_user_execution("<b>ルール名</b>: ZIPアーカイブからの実行 [7zip] (via process_creation)<br/><b>ルールID</b>: 43917da8-4e9a-4cd2-b3f9-dc60e2326534") step_proxy_execution["T1218.005 u2013 システムバイナリプロキシ実行: Mshta: GitHubからpdfko.zipをダウンロードして実行します"] step_script_execution["T1218.001 & T1216.002 u2013 システムバイナリ/スクリプトプロキシ実行: HTAの難読化されたVBScriptがコンパイル済みHTMLファイルとSyncAppvPublishingServerを使用"] step_decoy_steganography["T1027.003 u2013 難読化されたファイルや情報: ステガノグラフィー: ユーザーを注意を逸らすデコイドキュメントをダウンロード"] step_branching{"環境チェック: Windows Defenderがアクティブかどうかを判断します"} step_defender_inactive["T1027 & T1218.011 u2013 難読化されたファイル & Rundll32: AES/RC4を使用して暗号化されたuser.txt/sys.logをダウンロードし、sys.dllを実行"] step_defender_active["T1027.006 u2013 難読化されたファイルや情報: HTMLスマグリング: PowerShell 1.ps1を実行してKimJongRATをデコード"] step_persistence_c2["T1219 & T1568 & T1578 u2013 永続性 & C2: MeshAgentをインストールし、Google Driveを通じた動的解決を使用してC2アドレスを更新"] step_initial_access –>|leads_to| step_user_execution step_user_execution –>|leads_to| step_proxy_execution step_user_execution -.->|detected_by| rules_for_user_execution step_proxy_execution –>|leads_to| step_script_execution step_script_execution –>|leads_to| step_decoy_steganography step_decoy_steganography –>|leads_to| step_branching step_branching –>|if_inactive| step_defender_inactive step_branching –>|if_active| step_defender_active step_defender_inactive –>|leads_to| step_persistence_c2 step_defender_active –>|leads_to| step_persistence_c2 "
攻撃フロー
検出
可能性のあるGoogle Driveを使用したフィッシング(プロキシ経由)
表示
疑わしいCURL使用(コマンドライン経由)
表示
隠れたPowerShellコマンドラインを介した実行の可能性(コマンドライン経由)
表示
疑わしいPowerShell文字列(コマンドライン経由)
表示
疑わしいPowerShell文字列(PowerShell経由)
表示
疑わしいアーカイブから抽出されたファイル(ファイルイベント経由)
表示
ZIPアーカイブからの実行 [7zip](プロセス作成経由)
表示
KimJongRATの悪意のあるダウンロードとC2通信の検出[Windowsネットワーク接続]
表示
KimJongRAT PowerShell実行を検出[Windows PowerShell]
表示
KimJongRATがmshtaを使用しコマンドラインチェックを経て実行[Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリーとベースライン事前チェックが通過している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと説明は、TTPを直接反映し、検出ロジックが期待するまさにそのテレメトリを生成することを目指す必要があります。抽象的または関連性のない例は、誤診につながります。
-
攻撃の流れとコマンド: 敵は成功裏に足場を確保し、KimJongRATのペイロードを実行しようとしています。単純なシグネチャベースの検出を回避するため、このマルウェアはウィンドウを隠してPowerShellスクリプトを実行し、実行ポリシーをバイパスし、その暗号化設定を処理する特定のログファイル名をパラメータとして渡します。目的は、被害者のマシンに永続的で隠密性のあるリモートアクセス型トロイの木馬(RAT)を樹立することです。検出ルールで特定された「selection_execute」ロジックを検証するために、正確なコマンドパターンを実行します。
-
回帰テストスクリプト:
# KimJongRAT実行パターンのシミュレーション # '-File'要件を満たすダミースクリプトを作成します "Write-Output 'KimJongRAT Payloadをシミュレート中'" | Out-File -FilePath "1.ps1" -Encoding ascii # 検出ルールをトリガーするコマンドを実行 # 注: このコマンドライン引数を正確に模倣する形で実行します。 Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden -
クリーンアップコマンド:
# シミュレーション中に作成されたダミーファイルを削除します Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue Remove-Item -Path "1.log" -ErrorAction SilentlyContinue