[オペレーションレポート] SSAフィッシングからAdaptixC2へ：マルチRAT侵入

SOC Prime Team

フォローする

[オペレーションレポート] SSAフィッシングからAdaptixC2へ：マルチRAT侵入

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

脅威アクターが、米国ソーシャルセキュリティ管理局に関連するフィッシングメールを使ったステップバイステップの侵入を実行しました。この作戦は、主なコマンド＆コントロールフレームワークとしてAdaptixC2に依存し、XWormは二次的なアクセスチャネルおよびTelegramを用いた情報流出にも使用され、ScreenConnectを展開して直接操作活動を支援しました。このキャンペーンは、RTLOファイル名偽装と複数の持続性パスを使用することで、部分的な緩和に耐えるよう設計された強固な運用規律を示しました。

調査

調査は、Deception.Pro環境内の欺瞞ワークステーション上で行われました。TLS検査が有効化されていたため、研究者は平文のビーコントラフィック、ペイロードダウンロードURL、ScreenConnectリレーのハンドシェイクを回収することができました。この可視性により、行動やフィンガープリントに基づく仮定に依存せず、特定のフレームワークに侵入を高い信頼度で帰属させることが可能になりました。

緩和措置

組織は、TLS検査を暗号化されたコマンド＆コントロールトラフィックに対して有効にし、EDRを導入して certutil-ベースのステージングおよび疑わしいPowerShell実行を検出できるようにしてリスクを軽減すべきです。ファイル拡張子の可視性を強化してRTLOベースのファイル名トリックを弱体化させ、公開またはユーザーが書き込み可能な場所へのレジストリRunキー書き込みを詳細に監視すべきです。チームは、特に msiexec.

経由でインストールされた場合、ScreenConnectのような不正なリモート管理ツールを在庫管理し警戒するべきです。

このアクティビティが検出された場合、影響を受けたエンドポイントを直ちに隔離してコマンド＆コントロールトラフィックを遮断し、SAMRまたはLSAD列挙によるさらなる横方向移動を防ぎます。公共フォルダーや他の一般的なステージングパス内でXWorm DLLおよびAdaptixC2アーティファクトの完全な法医学的スイープを実行します。調査者はまた、Telegram関連のデータ流出パターンをレビューし、正当なアップデーター名を模倣したレジストリ持続性キーを監査する必要があります。

graph TB %% クラス定義セクション classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc %% ノード定義 %% 初期アクセスと実行 action_phishing[“アクション – T1566.002 フィッシング: スピアフィッシングリンク 被害者はSSAを装った偽のメールを受信し、 RARアーカイブへのリンクを含んでいる。”] class action_phishing action action_masquerade[“アクション – T1036.008 偽装: ファイルタイプの偽装 攻撃者はRTLOトリックを使用して、PE32実行ファイルを PDFファイル（.fdp.exe）に見せかける。”] class action_masquerade action action_user_exec[“アクション – T1204.002 ユーザー実行: 悪意のあるファイル ユーザーが偽装された 悪意のあるファイルを操作する。”] class action_user_exec action %% ツール転送と永続化 tool_certutil[“ツール – 名称: certutil.exe 説明: AdaptixC2ペイロードのダウンロードに使用される Windows標準ユーティリティ。”] class tool_certutil tool action_ingress[“アクション – T1105 ツールの侵入転送 ペイロードは cloudpre-005[.]onlineからダウンロードされる。”] class action_ingress action action_persistence[“アクション – T1547.001 起動時またはログオン時の自動実行: レジストリRunキー / スタートアップフォルダー PayloadService、JavaUpdater、Updaterなどのレジストリキーを C:\Users\Public\ に作成する。”] class action_persistence action %% C2とリモートアクセス malware_adaptix[“マルウェア – 名称: AdaptixC2 説明: コマンド＆コントロール（C2）操作に使用される ビーコンエージェント。”] class malware_adaptix malware action_c2_web[“アクション – T1071.001 アプリケーション層プロトコル: Webプロトコル AdaptixC2は特定のWeb URLに対して ビーコン通信を行う。”] class action_c2_web action tool_screenconnect[“ツール – 名称: ScreenConnect 説明: 対話型制御のために展開される リモートアクセスツール。”] class tool_screenconnect tool action_remote_access[“アクション – T1219 リモートアクセスツール 対話型アクセスを維持するために 2つの独立したクライアントを展開する。”] class action_remote_access action %% データ窃取と探索 malware_xworm[“マルウェア – 名称: XWorm 説明: Telegramを介して盗まれたデータを 中継するために使用されるマルウェア。”] class malware_xworm malware action_exfil[“アクション – T1567 Webサービス経由での情報持ち出し データは Telegram Bot APIを使用して送信される。”] class action_exfil action action_discovery[“アクション – T1069.002 権限グループの探索: ドメイングループ SAMRおよびLSAD RPCを通じて ドメイン環境を列挙する。”] class action_discovery discovery %% 接続 action_phishing –>|つながる| action_masquerade action_masquerade –>|つながる| action_user_exec action_user_exec –>|起動する| tool_certutil tool_certutil –>|実行する| action_ingress action_ingress –>|インストールする| malware_adaptix malware_adaptix –>|確立する| action_persistence malware_adaptix –>|使用する| action_c2_web action_remote_access –>|利用する| tool_screenconnect malware_adaptix –>|展開する| action_remote_access malware_adaptix –>|運用する| malware_xworm malware_xworm –>|実行する| action_exfil malware_adaptix –>|実行する| action_discovery

攻撃フロー

攻撃の説明とコマンド: 敵対者は、スピアフィッシングリンクを通じてターゲットマシンに足場を確立しました。制御を維持し、指示を受けるために、AdaptixC2エージェントはコマンド＆コントロールサーバーへの”チェックイン”を試みます。エージェントはハードコードされたURI (98.81.111.167/updates/check.php) またはフォールバックIP (23.20.229.225) へポート443経由で接続しようとします。これら正確な接続試行をシミュレートすることで、ファイアウォール/ネットワーク検出ルールがこれらの既知の悪意あるパターンを正確に特定するかどうかを検証します。

回帰テストスクリプト: このスクリプトはPowerShellを使用して、特定のURLと特定のIPアドレスにターゲットを絞った2つの異なる接続試行をシミュレートします。

# AdaptixC2 C2通信のシミュレーション
Write-Host "[+] AdaptixC2シミュレーションを開始します..." -ForegroundColor Cyan

# シナリオ1: 特定の悪意あるURLパターンへの接続
Write-Host "[+] 悪意あるURLへの接続を試みています: 98.81.111.167/updates/check.php" -ForegroundColor Yellow
try {
    # IPは解決されないか応答しない可能性が高いため、
    # -ErrorAction SilentlyContinueを使用しますが、接続試行自体がテレメトリーを生成します。
    Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue
} catch {
    Write-Host "[!] 接続失敗（予想通り）ですが、テレメトリーは生成されるはずです。" -ForegroundColor Gray
}

# シナリオ2: 特定の悪意あるIPへのポート443での接続
Write-Host "[+] 悪意あるIP 23.20.229.225へのポート443接続を試みています" -ForegroundColor Yellow
try {
    $tcpClient = New-Object System.Net.Sockets.TcpClient
    $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null)
    $success = $connection.AsyncWaitHandle.WaitOne(5000, $false)
    if ($success) {
        Write-Host "[+] 接続成功（現実のテストでは考えにくいです）。" -ForegroundColor Green
    } else {
        Write-Host "[!] 接続タイムアウト（予想通り）、しかしテレメトリーは生成されるはずです。" -ForegroundColor Gray
    }
    $tcpClient.Close()
} catch {
    Write-Host "[!] TCP接続試行中にエラーが発生しました。" -ForegroundColor Red
}

Write-Host "[+] シミュレーション完了。" -ForegroundColor Cyan

クリーンアップコマンド:

# このシミュレーションによって永続的なアーティファクトは生成されません。生成されるのはネットワークトラフィックのみです。
Write-Host "[+] クリーンアップ不要。ネットワーク接続は一時的でした。" -ForegroundColor Green

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加