フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
洗練されたRustベースの情報窃取ツールが偽のOpenClawインストーラーを通じて拡散されています。ホログラムと追跡された初期のドロッパーは、複数のサンドボックス回避技術を適用し、その後、6つのコンポーネントからなるモジュラーインプラントを配備します。この作戦は、Azure DevOps、Telegram、Hookdeckなどの正当なプラットフォームをコマンド&コントロールおよび死評配送のために悪用しています。主な目的は、暗号通貨ウォレットやパスワードマネージャーのブラウザ拡張機能から資格情報を盗み取ることです。
調査
Netskope Threat Labsは、ホログラムとパスファインダーの二つのキャンペーン波を調査し、偽のインストーラーから最終的な資格情報盗難モジュールに至る感染チェーン全体をマッピングしました。彼らの分析により、アンチVMチェック、マウス移動の必要性、Microsoft Defenderを無効にするPowerShellランナー、およびRunキー、Winlogon userinit 乗っ取り、スケジュールタスク、COMハイジャックなどの永続化方法が明らかになりました。研究者たちはまた、ドメイン、Telegramチャネル、Hookdeckウェブフックなどのインフラストラクチャの頻繁な変更も観察しました。
緩和
防御者は偽のOpenClawインストーラーのダウンロードをブロックし、このキャンペーンに関連する130MBの大きなRust PEを監視するべきです。セキュリティチームは、 OneDriveSync.lnk ショートカットがスタートアップフォルダーで作成された場合も検知し、Winlogon userinitに関するレジストリの変更を監視するべきです。指定されたAzure DevOps、Telegram API、およびHookdeckエンドポイントへの外部アクセスは、開発者用ではないシステムで厳格に管理されなければなりません。ファイアウォールルールは、また、ポート 56001 から 57002.
への接続を防ぐべきです。
脅威が検出された場合は、即座に感染端末を隔離し、ドロップされたバイナリと関連ファイルを収集し、レジストリの変更とスケジュールされたタスクのアーティファクトをフォレンジック分析します。公開されているAzure DevOpsのトークンは取り消されるべきで、Telegramボットの資格情報が侵害された場合は、変更されるべきです。その後、観測されたミューテックス、ファイル名、ネットワークインジケーターを含むように検出コンテンツを更新し、関連する利害関係者に通知し、CERTや影響を受けたサービスプロバイダへの報告を検討します。
"graph TB %% クラス定義 classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% ノード定義 file_openclaw["<b>ファイル</b>: OpenClaw_x64.exe<br/><b>種類</b>: 偽インストーラー"] class file_openclaw file initial_access["<b>技術</b> – <b>T1204.002 ユーザー実行: 悪意のあるファイル</b><br/><b>説明</b>: 被害者がopenclawu2011installer.comから悪意のあるインストーラーを実行"] class initial_access technique defense_evasion_vm["<b>技術</b> – <b>T1497.002 仮想化/サンドボックス回避: ユーザーアクティビティベースのチェック</b><br/><b>説明</b>: ドロッパーはVM、ハードウェアのフィンガープリントをチェックし、マウス移動を待機"] class defense_evasion_vm technique defense_evasion_firewall["<b>技術</b> – <b>T1562.004 防御の減退: ファイアウォールの無効化または変更</b><br/><b>説明</b>: PowerShellがWindows Defenderを無効化し、インバウンドポート56001から57002を開きます"] class defense_evasion_firewall technique tool_powershell["<b>ツール</b>: PowerShell<br/><b>説明</b>: セキュリティコンポーネントを無効化するスクリプトを実行"] class tool_powershell tool execution_reflective["<b>技術</b> – <b>T1620 反射的コード読み込み</b><br/><b>説明</b>: memexecを通じてメモリ上で実行された復号されたステージ2バイナリ"] class execution_reflective technique execution_injection["<b>技術</b> – <b>T1055.002 プロセスインジェクション: ポータブル実行可能ファイルインジェクション</b><br/><b>説明</b>: svc_service.exeはNTシスコールを使用してペイロードをインジェクト"] class execution_injection technique process_svc["<b>プロセス</b>: svc_service.exe<br/><b>説明</b>: CLRをホストし、インジェクションを実行"] class process_svc process persistence_shortcut["<b>技術</b> – <b>T1547.009 ショートカット変更</b><br/><b>説明</b>: スタートアップフォルダに配置されたLNKショートカット"] class persistence_shortcut technique file_shortcut["<b>ファイル</b>: OneDriveSync.lnk<br/><b>場所</b>: スタートアップフォルダ"] class file_shortcut shortcut persistence_hijack["<b>技術</b> – <b>T1574 実行フローのハイジャック</b><br/><b>説明</b>: WinLogon Userinitのレジストリ変更、COMハイジャック、スケジュールタスクの作成"] class persistence_hijack technique node_registry["<b>レジストリ</b>: WinLogon Userinitの変更<br/><b>アクション</b>: 実行順序を変更"] class node_registry registry node_task["<b>スケジュールされたタスク</b>: ログオンタスク<br/><b>アクション</b>: ユーザーログオン時にペイロードを実行"] class node_task scheduled c2_dead_drop["<b>技術</b> – <b>T1102.001 ウェブサービス: デッドドロップリゾルバー</b><br/><b>説明</b>: Telegramのチャンネル説明からC2ドメインを取得"] class c2_dead_drop technique c2_telegram["<b>C2チャネル</b>: Telegramの説明"] class c2_telegram c2 c2_bidirectional["<b>技術</b> – <b>T1102.002 ウェブサービス: 双方向通信</b><br/><b>説明</b>: HookdeckウェブフックリレーとTelegram Bot APIを介して通信"] class c2_bidirectional technique tool_hookdeck["<b>ツール</b>: Hookdeckウェブフックリレー<br/><b>説明</b>: HTTPリクエストを中継"] class tool_hookdeck tool tool_telegram_bot["<b>ツール</b>: Telegram Bot API<br/><b>説明</b>: 双方向メッセージングを提供"] class tool_telegram_bot tool %% 接続 file_openclaw –>|トリガー| initial_access initial_access –>|誘導| defense_evasion_vm defense_evasion_vm –>|誘導| defense_evasion_firewall defense_evasion_firewall –>|実行者| tool_powershell defense_evasion_firewall –>|誘導| execution_reflective execution_reflective –>|ロード| process_svc process_svc –>|実行| execution_injection execution_injection –>|作成| file_shortcut file_shortcut –>|有効化| persistence_shortcut persistence_shortcut –>|サポート| persistence_hijack persistence_hijack –>|変更| node_registry persistence_hijack –>|作成| node_task persistence_hijack –>|取得| c2_dead_drop c2_dead_drop –>|ソース| c2_telegram c2_dead_drop –>|使用| c2_bidirectional c2_bidirectional –>|中継| tool_hookdeck c2_bidirectional –>|通信| tool_telegram_bot
攻撃フロー
検出
可能な持続性ポイント [ASEPs – ソフトウェア/NTUSER ハイブ] (レジストリイベントを通じて)
表示
公開ユーザープロファイルからの疑わしい実行 (プロセス作成を通じて)
表示
Windows Defenderリアルタイム監視の無効化とその他の設定変更 (cmdlineを通じて)
表示
自動起動場所での疑わしいバイナリ/スクリプト (ファイルイベントを通じて)
表示
公開ユーザープロファイルでの疑わしいファイル (ファイルイベントを通じて)
表示
コマンド&コントロールチャネルとしての可能なTelegramの悪用 (DNSクエリを通じて)
表示
IOC (HashSha256) で検出: OpenClawのホログラム: 偽インストーラーがRustインフォステイラーを搭載
表示
IOC (SourceIP) で検出: OpenClawのホログラム: 偽インストーラーがRustインフォステイラーを搭載
表示
IOC (DestinationIP) で検出: OpenClawのホログラム: 偽インストーラーがRustインフォステイラーを搭載
表示
オブフスケートされているPowerShellペイロードとファイアウォールの操作を検出 [Windows Powershell]
表示
モジュラーフレームワークを提供する悪意のあるOpenClawインストーラーの検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリーとベースラインの事前飛行チェックが合格している必要があります。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵対者技術 (TTP) の正確な実行を詳述しています。コマンドとナラティブは識別されるTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃ナラティブとコマンド:
敵は、悪意のあるOpenClaw偽インストーラー(
OpenClaw_x64.exe).
ユーザーは、それを正当なウォレットツールとみなし、インストーラーを実行します(T1204).
インストーラーはすぐに1つのコマンドラインを起動し、一度に6つの悪意のあるペイロードバイナリを生成し、サンドボックスのヒューリスティックを回避し、モジュラーインプラントフレームワークを確立します(T1027.009, T1608.001, T1546.016, T1127).ルールによって期待される正確なコマンドラインは次のとおりです:
OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe -
回帰テストスクリプト:
# ------------------------------------------------- # シミュレーションスクリプト – OpenClaw検出をトリガー # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" # ダミーインストーラーが存在することを確認する(無害なプレースホルダーを作成) if (-not (Test-Path $installerPath)) { New-Item -ItemType File -Path $installerPath -Force | Out-Null } # すべての6つのペイロード名を含む引数リストを作成 $payloads = @( "svc_service.exe", "virtnetwork.exe", "onedrive_sync.exe", "audioeq.exe", "WinHealhCare.exe", "OneSync.exe" ) $argString = $payloads -join " " # 完全な悪意のあるコマンドラインでインストーラーを起動 Write-Host "悪意のあるインストーラーを起動…" Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow # イベントを記録するためにSysmon / Securityに数秒待つ Start-Sleep -Seconds 5 Write-Host "シミュレーション完了。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# ------------------------------------------------- # クリーンアップスクリプト – テストのために作成されたアーティファクトを削除 # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" if (Test-Path $installerPath) { Remove-Item -Path $installerPath -Force } # 残っているダミーペイロードプロセスをオプションで終了する(あくまでプレースホルダーです) Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "クリーンアップ完了。"