シルバーフォックスが税金をテーマにしたフィッシング攻撃でインドを標的に
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Silver Foxと呼ばれる中国のAPTグループが、インドの組織を標的にした税金をテーマにしたフィッシングキャンペーンを実施しています。最初のメールには、被害者を悪意のあるドメインに誘導し、ZIPファイルのダウンロードを発動させるPDFが含まれています。このZIPには、Thunder.exeをドロップするNSISインストーラと、DLLハイジャッキング、分析対策チェックを行い、暗号化されたシェルコードをロードする悪意のあるlibexpat.dllが含まれています。最終的なペイロードは、マルチティアC2インフラストラクチャから設定を受け取るValley RATです。
調査
このレポートでは、4つの段階が詳述されています: (1) PDFのルアーによるZIP配信、(2) Thunder.exeとlibexpat.dllをドロップするNSISインストーラの実行、(3) explorer.exeに注入するためにDonutが生成したシェルコードローダ、(4) レジストリベースの永続性とモジュラープラグインを備えたValley RATの展開です。解析にはバイナリの静的および動的検査、C2ドメインの列挙、ATT&CKテクニックへのマッピングが含まれます。
緩和策
防御側は、仮の場所から署名されていないDLLをロードする署名されたバイナリ、HKCUConsole以下のレジストリ書き込み、explorer.exeにおけるPAGE_EXECUTE_READWRITEメモリの異常な生成を監視するべきです。既知のC2ドメインやIPのブロック、およびマルチティアのフォールバック動作の検出は、露出を減らします。最初のNSISインストーラを停止するために厳格なアプリケーション制御とサンドボックス回避検出を実装してください。
対応策
インジケーターが観測された場合、影響を受けたホストを隔離し、プロセス注入分析のために揮発性メモリを収集し、Valley RATのレジストリキーとプラグインを検索してください。特定されたすべてのC2インフラストラクチャをブロックし、侵害された資格情報をリセットしてください。追加のプラグインや横方向移動ツールを特定するために完全なフォレンジックレビューを実施してください。
攻撃フロー
検出
持続性ポイントの可能性 [ASEPs – ソフトウェア/NTUSERハイブ](レジストリエベント経由)
表示
異常なトップレベルドメイン(TLD)DNSリクエストによる疑わしいコマンド&コントロール(dns経由)
表示
引数なしの疑わしいプロセス(cmdline経由)
表示
検出するべきIOC(SourceIP):Silver Foxがインドをターゲットにした税に関連したフィッシングルアー
表示
検出するべきIOC(ハッシュSHA256):Silver Foxがインドをターゲットにした税に関連したフィッシングルアー
表示
検出するべきIOC(DestinationIP):Silver Foxがインドをターゲットにした税に関連したフィッシングルアー
表示
Thunder.exeによるDLLハイジャッキングとExplorer.exeへのプロセス注入の検出 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリ&ベースラインプレフライトチェックが合格していること。
理由:このセクションでは、検出ルールをトリガーするために設計された攻撃者技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは、特定されたTTPと直接的に一致し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を引き起こします。
-
攻撃ナラティブ&コマンド:
攻撃者は、被害者の%TEMP%ディレクトリにドロップされた「Thunder.exe」と共に悪意のあるDLLを配布します。ユーザーの疑念を回避するために、ペイロードは既に実行中のexplorer.exeプロセスを使用してWindowsShellExecuteAPI経由で起動され、 プロセス作成イベント が発生し、explorer.exeが親として表示されます。悪意のあるThunder.exeは、その後悪意のあるDLLをロード(DLLハイジャッキング)し、シェルコードをexplorer.exeプロセスに注入(プロセス注入)し、ユーザーのトークンでコード実行を達成します。 -
回帰テストスクリプト:
# ------------------------------------------------- # シグマ検出をトリガーする回帰スクリプト # ------------------------------------------------- # 1. 偽のThunder.exeを用意する(notepad.exeのコピー) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2.(オプション)ハイジャッキングを模倣するために悪意のあるDLLをその横にドロップする $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # デモンストレーションでは空のファイルを作成しますが、実際の試験では作成されたDLLが必要です。 New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. ShellExecuteを使用してexplorer.exe経由でThunder.exeを起動する(実際にはStart-Process -Verb RunAsでシミュレート) $explorer = (Get-Process -Name explorer).Id # PowerShellを使用してexplorerを親としてプロセスを開始する(低レベルAPIを必要としますが、ここでは近似しています) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. ログ生成のために少し時間を待つ Start-Sleep -Seconds 5 # 5. クリーンアップ(次のセクションで処理) -
クリーンアップコマンド:
# ------------------------------------------------- # シミュレーション後のクリーンアップ # ------------------------------------------------- # %TEMP%から偽のThunder.exeとダミーDLLを削除する Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # 残留しているThunder.exeプロセスがあれば任意で終了する Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force