SloppyLemming攻撃技術&BurrowShellバックドアの解説
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
SloppyLemmingは、南および東アジアの重要産業を標的とするサイバー諜報グループです。このグループはカスタムマルウェアを配布するためのスピアフィッシングに依存しており、BurrowShellバックドアやRustベースのキーロガーを含みます。また、Cloudflare Workersを広範に利用して指令・制御活動や認証情報の盗難をサポートしています。
調査
この報告書は、悪意のあるExcelマクロと偽装認証ポータルを含む多段階キャンペーンを詳述しています。研究者は、政府機関を模倣するために作成されたCloudflareサブドメインを特定し、同グループのカスタムシェルコードとキーロギング機能を分析しました。また、SloppyLemmingが動的API解決やRC4暗号化されたペイロードを用いてどのように静的解析を回避するかも示しました。
緩和策
組織は、悪意のある添付ファイルやフィッシングリンクを配信前にブロックするため、強力なメールフィルタリングを導入するべきです。セキュリティチームは、無許可のRunキーの変更や、 NGenTask.exe といった予期しないDLLの読み込みを含む、疑わしい親子プロセス関係を監視するべきです。検出は、不通常のCloudflare Workerトラフィックおよび無許可のOAuthトークン使用の兆候もカバーする必要があります。
対応策
この活動が検出された場合、指令・制御チャネルを通じたさらなる情報流出を防ぐため、直ちに影響を受けたシステムを隔離してください。メモリフォレンジックを実施してBurrowShellシェルコードを回収し、どの程度侵害されたかを判断してください。キーロガーやOAuth傍受を通じて露出した可能性のあるすべてのアカウントの認証情報をリセットし、特にGoogleアカウントに注意を払ってください。
攻撃フロー
シミュレーション実行
前提条件: テレメトリー&ベースラインプリフライトチェックが通過している必要があります。
根拠: 本セクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としなければなりません。抽象的または無関係な例は誤診の原因となります。
-
攻撃のナラティブ&コマンド: 敵は持続性を維持し、コマンドを静かに実行しようとします。彼らは、
audiodg.exeのプロセスフローをハイジャックしようとします。引数としてmscorsvc.dllを渡す、SloppyLemmingのよく知られた手法です。検出をさらに複雑にするために、彼らはまた、自分の存在を隠すために、コマンドライン文字列の中で追加の悪質なプロセスをOneDrive.exeと名付ける可能性もあります。目標は、audiodg.exeと疑わしいDLLまたは名前の変装の組み合わせを特定することで、検出ルールをトリガーすることです。 -
回帰テストスクリプト:
# シミュレーションスクリプト: SloppyLemming TTPのエミュレーション # シナリオ1: mscorsvc.dllを用いたaudiodg.exeのハイジャック Write-Host "[+] audiodg.exeのハイジャックをmscorsvc.dllでシミュレート中..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # シナリオ2: OneDrive.exeを利用したコマンドラインでの変装 Write-Host "[+] audiodg.exeの実行をOneDrive.exeの変装と共にシミュレート中..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
クリーンアップコマンド:
# クリーンアップ: cmd /cコマンドによって作成された永続的なアーティファクトはありませんが、 # いかなる規模の不審なプロセスも存在しないことを確認します。 Stop-Process -Name "cmd" -ErrorAction SilentlyContinue