SOC Prime Bias: 重大

30 Dec 2025 13:52 UTC

シルバーフォックスが税金をテーマにしたフィッシング攻撃でインドを標的に

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
シルバーフォックスが税金をテーマにしたフィッシング攻撃でインドを標的に
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Silver Foxと呼ばれる中国のAPTグループが、インドの組織を標的にした税金をテーマにしたフィッシングキャンペーンを実施しています。最初のメールには、被害者を悪意のあるドメインに誘導し、ZIPファイルのダウンロードを発動させるPDFが含まれています。このZIPには、Thunder.exeをドロップするNSISインストーラと、DLLハイジャッキング、分析対策チェックを行い、暗号化されたシェルコードをロードする悪意のあるlibexpat.dllが含まれています。最終的なペイロードは、マルチティアC2インフラストラクチャから設定を受け取るValley RATです。

調査

このレポートでは、4つの段階が詳述されています: (1) PDFのルアーによるZIP配信、(2) Thunder.exeとlibexpat.dllをドロップするNSISインストーラの実行、(3) explorer.exeに注入するためにDonutが生成したシェルコードローダ、(4) レジストリベースの永続性とモジュラープラグインを備えたValley RATの展開です。解析にはバイナリの静的および動的検査、C2ドメインの列挙、ATT&CKテクニックへのマッピングが含まれます。

緩和策

防御側は、仮の場所から署名されていないDLLをロードする署名されたバイナリ、HKCUConsole以下のレジストリ書き込み、explorer.exeにおけるPAGE_EXECUTE_READWRITEメモリの異常な生成を監視するべきです。既知のC2ドメインやIPのブロック、およびマルチティアのフォールバック動作の検出は、露出を減らします。最初のNSISインストーラを停止するために厳格なアプリケーション制御とサンドボックス回避検出を実装してください。

対応策

インジケーターが観測された場合、影響を受けたホストを隔離し、プロセス注入分析のために揮発性メモリを収集し、Valley RATのレジストリキーとプラグインを検索してください。特定されたすべてのC2インフラストラクチャをブロックし、侵害された資格情報をリセットしてください。追加のプラグインや横方向移動ツールを特定するために完全なフォレンジックレビューを実施してください。

攻撃フロー

シミュレーション実行

前提条件:テレメトリ&ベースラインプレフライトチェックが合格していること。

理由:このセクションでは、検出ルールをトリガーするために設計された攻撃者技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは、特定されたTTPと直接的に一致し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。

  • 攻撃ナラティブ&コマンド:
    攻撃者は、被害者の %TEMP% ディレクトリにドロップされた「Thunder.exe」と共に悪意のあるDLLを配布します。ユーザーの疑念を回避するために、ペイロードは既に実行中の explorer.exe プロセスを使用してWindows ShellExecute API経由で起動され、 プロセス作成イベント が発生し、 explorer.exe が親として表示されます。悪意のある Thunder.exe は、その後悪意のあるDLLをロード(DLLハイジャッキング)し、シェルコードを explorer.exe プロセスに注入(プロセス注入)し、ユーザーのトークンでコード実行を達成します。

  • 回帰テストスクリプト:

    # -------------------------------------------------
    # シグマ検出をトリガーする回帰スクリプト
    # -------------------------------------------------
    # 1. 偽のThunder.exeを用意する(notepad.exeのコピー)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2.(オプション)ハイジャッキングを模倣するために悪意のあるDLLをその横にドロップする
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # デモンストレーションでは空のファイルを作成しますが、実際の試験では作成されたDLLが必要です。
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. ShellExecuteを使用してexplorer.exe経由でThunder.exeを起動する(実際にはStart-Process -Verb RunAsでシミュレート)
    $explorer = (Get-Process -Name explorer).Id
    # PowerShellを使用してexplorerを親としてプロセスを開始する(低レベルAPIを必要としますが、ここでは近似しています)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. ログ生成のために少し時間を待つ
    Start-Sleep -Seconds 5
    
    # 5. クリーンアップ(次のセクションで処理)
  • クリーンアップコマンド:

    # -------------------------------------------------
    # シミュレーション後のクリーンアップ
    # -------------------------------------------------
    # %TEMP%から偽のThunder.exeとダミーDLLを削除する
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # 残留しているThunder.exeプロセスがあれば任意で終了する
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force