SOC Prime Bias:

15 Jun 2026 05:49 UTC

[オペレーションレポート] SSAフィッシングからAdaptixC2へ:マルチRAT侵入

Author Photo
SOC Prime Team linkedin icon フォローする
[オペレーションレポート] SSAフィッシングからAdaptixC2へ:マルチRAT侵入
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

脅威アクターが、米国ソーシャルセキュリティ管理局に関連するフィッシングメールを使ったステップバイステップの侵入を実行しました。この作戦は、主なコマンド&コントロールフレームワークとしてAdaptixC2に依存し、XWormは二次的なアクセスチャネルおよびTelegramを用いた情報流出にも使用され、ScreenConnectを展開して直接操作活動を支援しました。このキャンペーンは、RTLOファイル名偽装と複数の持続性パスを使用することで、部分的な緩和に耐えるよう設計された強固な運用規律を示しました。

調査

調査は、Deception.Pro環境内の欺瞞ワークステーション上で行われました。TLS検査が有効化されていたため、研究者は平文のビーコントラフィック、ペイロードダウンロードURL、ScreenConnectリレーのハンドシェイクを回収することができました。この可視性により、行動やフィンガープリントに基づく仮定に依存せず、特定のフレームワークに侵入を高い信頼度で帰属させることが可能になりました。

緩和措置

組織は、TLS検査を暗号化されたコマンド&コントロールトラフィックに対して有効にし、EDRを導入して certutil-ベースのステージングおよび疑わしいPowerShell実行を検出できるようにしてリスクを軽減すべきです。ファイル拡張子の可視性を強化してRTLOベースのファイル名トリックを弱体化させ、公開またはユーザーが書き込み可能な場所へのレジストリRunキー書き込みを詳細に監視すべきです。チームは、特に msiexec.

経由でインストールされた場合、ScreenConnectのような不正なリモート管理ツールを在庫管理し警戒するべきです。

このアクティビティが検出された場合、影響を受けたエンドポイントを直ちに隔離してコマンド&コントロールトラフィックを遮断し、SAMRまたはLSAD列挙によるさらなる横方向移動を防ぎます。公共フォルダーや他の一般的なステージングパス内でXWorm DLLおよびAdaptixC2アーティファクトの完全な法医学的スイープを実行します。調査者はまた、Telegram関連のデータ流出パターンをレビューし、正当なアップデーター名を模倣したレジストリ持続性キーを監査する必要があります。

攻撃フロー

検出

可能な持続性ポイント [ASEPs – ソフトウェア/NTUSERハイブ] (via registry_event)

SOCプライムチーム
2026年6月12日

データエンコードと証明書操作のためのCertutilの使用 (via cmdline)

SOCプライムチーム
2026年6月12日

公共ユーザープロファイルからの疑わしい実行 (via process_creation)

SOCプライムチーム
2026年6月12日

代替リモートアクセス/管理ソフトウェア (via process_creation)

SOCプライムチーム
2026年6月12日

Powershellを使用して疑わしいディレクトリにアーカイブが抽出された (via powershell)

SOCプライムチーム
2026年6月12日

公共ユーザープロファイル内の疑わしいファイル (via file_event)

SOCプライムチーム
2026年6月12日

可能なIPルックアップドメイン通信の試行 (via dns)

SOCプライムチーム
2026年6月12日

動的DNSサービスへのアクセスが試みられた (via dns)

SOCプライムチーム
2026年6月12日

検出対象のIoC (HashSha256): [Op Report] SSAフィッシングからAdaptixC2へ:マルチRATの侵入

SOCプライムAIルール
2026年6月12日

検出対象のIoC (HashMd5): [Op Report] SSAフィッシングからAdaptixC2へ:マルチRATの侵入

SOCプライムAIルール
2026年6月12日

検出対象のIoC (SourceIP): [Op Report] SSAフィッシングからAdaptixC2へ:マルチRATの侵入

SOCプライムAIルール
2026年6月12日

検出対象のIoC (DestinationIP): [Op Report] SSAフィッシングからAdaptixC2へ:マルチRATの侵入

SOCプライムAIルール
2026年6月12日

AdaptixC2 コマンド&コントロール通信の検出 [Windowsネットワーク接続]

SOCプライムAIルール
2026年6月12日

CertutilとMsiexecを介したAdaptixC2およびScreenConnectの展開検出 [Windowsプロセス作成]

SOCプライムAIルール
2026年6月12日

シミュレーション実行

前提条件: テレメトリー&ベースラインの事前確認が通過していること。

基本理念: このセクションは、検出ルールをトリガーするために設計された敵対者の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的とします。

  • 攻撃の説明とコマンド: 敵対者は、スピアフィッシングリンクを通じてターゲットマシンに足場を確立しました。制御を維持し、指示を受けるために、AdaptixC2エージェントはコマンド&コントロールサーバーへの”チェックイン”を試みます。エージェントはハードコードされたURI (98.81.111.167/updates/check.php) またはフォールバックIP (23.20.229.225) へポート443経由で接続しようとします。これら正確な接続試行をシミュレートすることで、ファイアウォール/ネットワーク検出ルールがこれらの既知の悪意あるパターンを正確に特定するかどうかを検証します。

  • 回帰テストスクリプト: このスクリプトはPowerShellを使用して、特定のURLと特定のIPアドレスにターゲットを絞った2つの異なる接続試行をシミュレートします。

    # AdaptixC2 C2通信のシミュレーション
    Write-Host "[+] AdaptixC2シミュレーションを開始します..." -ForegroundColor Cyan
    
    # シナリオ1: 特定の悪意あるURLパターンへの接続
    Write-Host "[+] 悪意あるURLへの接続を試みています: 98.81.111.167/updates/check.php" -ForegroundColor Yellow
    try {
        # IPは解決されないか応答しない可能性が高いため、
        # -ErrorAction SilentlyContinueを使用しますが、接続試行自体がテレメトリーを生成します。
        Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue
    } catch {
        Write-Host "[!] 接続失敗(予想通り)ですが、テレメトリーは生成されるはずです。" -ForegroundColor Gray
    }
    
    # シナリオ2: 特定の悪意あるIPへのポート443での接続
    Write-Host "[+] 悪意あるIP 23.20.229.225へのポート443接続を試みています" -ForegroundColor Yellow
    try {
        $tcpClient = New-Object System.Net.Sockets.TcpClient
        $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null)
        $success = $connection.AsyncWaitHandle.WaitOne(5000, $false)
        if ($success) {
            Write-Host "[+] 接続成功(現実のテストでは考えにくいです)。" -ForegroundColor Green
        } else {
            Write-Host "[!] 接続タイムアウト(予想通り)、しかしテレメトリーは生成されるはずです。" -ForegroundColor Gray
        }
        $tcpClient.Close()
    } catch {
        Write-Host "[!] TCP接続試行中にエラーが発生しました。" -ForegroundColor Red
    }
    
    Write-Host "[+] シミュレーション完了。" -ForegroundColor Cyan
  • クリーンアップコマンド:

    # このシミュレーションによって永続的なアーティファクトは生成されません。生成されるのはネットワークトラフィックのみです。
    Write-Host "[+] クリーンアップ不要。ネットワーク接続は一時的でした。" -ForegroundColor Green