隠密アクセス作戦:武器化されたLNKベースのスピアフィッシングがアルゼンチンの司法部門を対象に、隠密型RATを配備
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Seqriteは、武器化されたLNKショートカットと悪意のあるBATローダーを組み合わせたスピアフィッシング作戦を特定しました。実行されると、ローダーはGitHubリポジトリからRustベースのリモートアクセス型トロイの木馬を引き込み、アンチ分析チェックを実施し、堅牢なコマンド&コントロールチャンネルを確立します。この活動は、アルゼンチンの司法組織や関連する政府機関を標的としていると評価されています。実行の可能性を高めるために、攻撃者は配布パッケージに正当なPDFデコイコンテンツを含めています。
調査
アナリストは、LNK、BAT、およびPDFファイルを含むZIPアーカイブを調査し、BATローダーをトリガーするために使用されるPowerShellコマンドシーケンスを再構築しました。RATの機能をプロファイリングし、アンチVM/アンチサンドボックスチェック、ホストの偵察とシステムのフィンガープリンティング、永続化のセットアップ、C2を介した暗号化されたタスク指令を含めました。観察された挙動は関連するMITRE ATT&CK技術にマッピングされ、偽装、PowerShell実行ポリシーのバイパス、およびプライマリーチャンネルが失敗した場合の二次/代替C2ロジックなどの顕著なパターンが含まれました。
軽減策
ユーザーが書き込み可能な場所や圧縮アーカイブからのショートカット(LNK)実行に対する厳格な統治を適用し、中央ログ記録で強化されたPowerShell実行ポリシーを施行します。許可されていないGitHubリポジトリへのアウトバウンドアクセスを制限またはプロキシし、スクリプトインタープリターからの疑わしいダウンロードおよび実行パターンを警告します。実行が成功した際の影響半径を減少させるため、ユーザーが最小特権でPDFを操作することを確保し、通常でないまたは新たに観測された名前でのRunレジストリキーまたはスケジュールのタスクによる永続化を監視します。可能な場合は共通のアンチ分析動作を表面化する検出を展開し、ログアウトに関連するタスクがないことを確認します。
対応
武器化されたLNKが作成または実行されたとき、そして関連するPowerShell呼び出しチェーンが観測されたときに警告をトリガーします。ドロップされたmsedge_proxy.exeアーティファクトとレジストリまたはタスクスケジューラにリンクされた永続化エントリを積極的に検索し、影響を受けたエンドポイントを分離し、悪意のあるプロセスツリーを終了させ、作成されたスケジュールタスクとRunキーの値を削除します。完全な法医学的レビューを完了し、スコープを検証し、データがステージングまたは抽出されていたかどうかを確認し、同じZIP/LNK配信パターンにさらされた追加のホストを特定します。
アタックフロー
検出
Microsoft Edge Named Binary がプログラムファイル外で実行されました(cmdline経由)
表示
仮想化ドライバーのアーティファクトによる疑わしいアンチVMチェック(cmdline経由)
表示
Windows バイナリがGithubからダウンロードされました(プロキシ経由)
表示
可能なシステム列挙(cmdline経由)
表示
IOC(SourceIP)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
IOC(DestinationIP)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
IOC(HashMd5)を検出して、アルゼンチンの司法セクターをターゲットにした武器化されたLNKベースのスピアフィッシングにより暗号化RATを配布する«Operation Covert Access»
表示
武器化されたLNKベースのスピアフィッシングとPowerShell実行【Windows Powershell】
表示
msedge_proxy.exe 実行の検出【Windows プロセス作成】
表示
シミュレーション実行
前提条件: テレメトリとベースラインのプレフライトチェックが合格していること。
理由: このセクションでは、対戦相手の技術(TTP)をトリガーするために設計された検出ルールの正確な実行を詳細に説明します。コマンドと記述はTTPに直接反映され、検出論理により期待された正確なテレメトリを生成することを目指す必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃の概要とコマンド:
-
初期妥協: 攻撃者は、武器化されたスピアフィッシングメールを送信します。
.lnkショートカットは、司法の従業員を標的としています。ショートカットは、PowerShellコマンドを指しており、実行ポリシーバイパスと非表示ウィンドウで実行され、疑惑を避けます。 -
実行フロー: ユーザーがショートカットをクリックすると、Windowsが次のコマンドを実行し、
health-check.batを起動します。バッチファイルには、実際の悪意のあるペイロード(例: RATを取得するPowerShellダウンローダー)が含まれています。powershell.exe -ep bypass -w hidden -f health-check.bat -
ペイロード配信:
health-check.batは悪意あるC2への静かなHTTP GETを実行し、ペイロードを書き込んで%TEMP%に保存し、実行します。
-
-
回帰テストスクリプト: 以下のスクリプトは、正確なテレメトリを再現するために
health-check.bat無害なコンテンツを使用して(テストを安全に保つために)作成し、その後にPowerShellコマンドを呼び出します。# ------------------------------------------------- # シミュレーションスクリプト – 武器化されたLNK PowerShell 実行 # ------------------------------------------------- # 1. ダミーのhealth-check.batを作成する(テスト用に安全) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. 正確なフラグとスクリプト名でPowerShellを実行する $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. ログが生成されることを保証するために数秒待つ Start-Sleep -Seconds 5 # ------------------------------------------------- -
クリーンアップコマンド: テストバッチファイルと残っている可能性のあるプロセスを削除する。
# ダミーのhealth-check.batをクリーンアップする Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # テストから残留した可能性のあるPowerShellインスタンスがないことを確認する Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force