シルバーフォックス、ValleyRATをZPAQとByteDanceバイナリでラップ:Telegram中国語パックMSIルアー
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Telegramの中国語パックを装った不正なMSIインストーラは、ValleyRAT、BYOVDベースのカーネルルートキット、およびDLLサイドローディングに悪用された署名されたByteDance実行ファイルを含む多層感染チェーンを届けます。このインストーラはまた、ZPAQFranzアーカイブユーティリティを正当なlandバイナリとして悪用し、物理メモリにアクセスするために脆弱なwnBiosドライバーを展開します。研究者は、香港のCTG Server Ltdに関連する作業基盤を運用者として明らかにし、活動をSilver Fox APTグループに帰属しました。このキャンペーンは、アジア太平洋地域の複数国の中国語話者を対象としているようです。
調査
研究者は、MSIカスタムアクションから始まり、ZPAQアーカイブの抽出、DLLサイドローディングにByteDanceのSodaMusicLauncherバイナリの選択的使用、wnBiosカーネルドライバーの展開に続く攻撃の完全な流れを再構築しました。埋め込まれた構成データの分析により、運用者の識別子とC2の詳細が明らかになりました。支援インフラは、以前Silver Foxと関連していたバレットプルーフホスティングに結びつけられました。調査チームはまた、永続手法や侵入チェーン中に使用されるアンチウイルス対応の回避ロジックも明らかにしました。
緩和策
承認されたバックアップまたは開発環境以外でzpaqfranzバイナリの実行を防止し、VBScriptカスタムアクションに依存するMSIインストールを厳しく監視します。AppShellElevationServiceの生成を制限し、信頼された署名付きバイナリの横に配置された署名されていないDLLを検出します。CTG Server Ltdが運用する特定の/21ネットワーク範囲へのアウトバウンド通信をブロックし、カスタムC2ポート5040を介したトラフィックを拒否します。このキャンペーンに見られた悪意あるファイル名およびプロセス名に対するホストベースの保護を強化します。
対応
特定されたファイル、生成されたプロセス、および不審なサービス作成イベントの検出を展開します。脆弱なカーネルドライバとマルウェアの特徴的なXORベースの復号ロジックのハンティングを実行します。感染の被害を受ける可能性のあるシステムを隔離し、根幹の調査のためにメモリイメージを収集し、侵入中に露出した任意のクレデンシャルをリセットします。脅威インテリジェンスチームはCTG Serverのインフラを継続的に追跡し、関連する活動を監視する必要があります。
攻撃フロー
検出
PowerShellでの可能性のある難読化の指標(powershell経由)
表示
PowerShell CommandLineからの疑わしい.NETクラス/メソッドの呼び出し(process_creation経由)
表示
疑わしいコマンド&コントロールによる異常なトップレベルドメイン(TLD)DNSリクエスト(dns経由)
表示
DNS経由で試みられた可能性のあるIPルックアップドメイン通信
表示
PowerShellからの疑わしい.NETメソッドの呼び出し(powershell経由)
表示
検出するためのIOC(HashSha256):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(HashMd5):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(DestinationIP):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
検出するためのIOC(SourceIP):Silver FoxがValleyRATをZPAQとByteDanceバイナリにラップ:Telegram中国語パックMSIの誘引
表示
物理メモリアクセスのためのwnBiosを使用したカーネルドライバのロードイベントを検出[Windowsイメージロード]
表示
Silver Fox APTによって使用される悪意あるバイナリの実行を検出[Windowsプロセス作成]
表示
ポート5040でのValleyRAT C2通信[Windowsネットワーク接続]
表示
シミュレーション実行
前提条件:テレメトリとベースラインの準備チェックが合格している必要があります。
理由:このセクションでは、検出ルールをトリガーするために設計されたアドバサリー技術(TTP)の正確な実行について説明します。コマンドと説明は識別されたTTPに直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃のストーリーとコマンド:
脅威アクターはスピアフィッシングリンク(T1566.002)を受け取り、
zpaqfranz.exe被害者のワークステーションにドロップされます。このバイナリは、持続利用バイナリ(LOLBin:T1036)として再利用された、見た目には合法な圧縮ツールです。攻撃者はPowerShell(T1059.001)を介して隠されたコマンドラインでこれを起動し、ツールに圧縮されたValleyRATペイロード(T1027)を解凍して実行するよう指示します。このプロセスは現在のユーザーコンテキストで実行され、ルールに一致するWindowsプロセス作成イベントを生成します。Image|endswith 'zpaqfranz.exe'条件ステップバイステップ:
- 悪意のあるバイナリをステージ in
%TEMP%. - 実行 PowerShellでバイナリを実行し、ダミー引数(
-extract)を渡して、実際のペイロードを模倣します。 - 短期間だけプロセスを維持し、その後終了します。 回帰テストスクリプト:
- 悪意のあるバイナリをステージ in
-
Regression Test Script:
# Silver Fox LOLBin Execution Simulation $tempPath = "$env:TEMPzpaqfranz.exe" # 1. Copy a benign executable to masquerade as the malicious LOLBin # (In a real test you would drop the actual malicious binary.) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Execute the LOLBin via PowerShell (simulating T1059.001) $args = "-extract C:Temppayload.bin" Write-Host "Launching $tempPath $args" Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow # 3. Wait a few seconds to ensure the event is logged Start-Sleep -Seconds 5 # 4. Optional: simulate cleanup (delete the dropped binary) Remove-Item -Path $tempPath -Force -
クリーンアップコマンド:
# Remove any residual artefacts from the simulation $tempPath = "$env:TEMPzpaqfranz.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force } # Terminate stray calc.exe processes that may have been launched inadvertently Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force