フォローする 
概要
標的型マルウェアキャンペーンが、武器化されたRARアーカイブを通じてタイの医療セクターを積極的に攻撃しています。これらのアーカイブには、多段階感染チェーンを引き起こし、最終的にはPythonベースの情報スティーラーを実行する、難読化されたバッチスクリプトが含まれています。このマルウェアはブラウザの資格情報とセッションクッキーをキャプチャし、盗まれたデータをTelegram経由で流出させるように設計されています。
調査
Seqrite Labは、2026年4月から6月にかけて10週間にわたるアクティブなキャンペーンウィンドウを特定しました。調査により、Roukiで難読化されたローダー、GitHubにホストされたペイロード、Windows開始フォルダを通じて確立された永続性を含む複雑な実行チェーンが明らかになりました。また、分析者はChromeベースのブラウザから情報を盗み出し、Telegram Bot APIを通じて送信する試みも観察しました。
緩和策
組織は、外部ソースから取得した信頼できないスクリプトやバイナリの実行に厳しい管理を設けるべきです。Windows開始フォルダへの無許可の変更を厳格に監視することが不可欠です。また、セキュリティチームは、非承認プロセスによるGitHubやTelegramなどのファイルホスティングおよびメッセージサービスへのアクセスを制限するべきです。
対応
感染が検出された場合、対応者は影響を受けたエンドポイントを直ちに隔離して、さらなるデータ窃盗を防ぐべきです。フォレンジック分析では、 %TEMP% and AppData ディレクトリに対して二次ペイロードや関連アーティファクトの特定に焦点を当てるべきです。ブラウザの履歴や資格情報ストアは妥協の兆候がないか確認し、潜在的に影響を受けたすべてのユーザーに対してパスワードリセットプロセスを開始する必要があります。
"graph TB %% クラス定義セクション classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% ノード定義 action_phishing["<b>アクション</b> – <b>T1566.001 フィッシング:スピアフィッシングの添付ファイル</b><br/>説明:医療テーマのメールに含まれる<br/>悪意のあるRARアーカイブ例)" Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>アクション</b> – <b>T1204.002 ユーザー実行:悪意のあるファイル</b><br/>説明:被害者がアーカイブを開き、埋め込まれた悪意のあるバッチスクリプトを実行する"] class action_user_exec action tool_powershell["<b/>ツール – <b/>名前:PowerShell<br/><b>技術</b> – T1059.001 コマンドおよびスクリプトインタープリタ:PowerShell<br/>説明:埋め込まれたコンテンツをデコードし、<br/>後続の段階のダウンロードを開始する"] class tool_powershell tool action_ingress["<b/>アクション – <b/>T1105 入荷ツール転送</b><br/>説明:PowerShellとcurlを利用して<br/>GitHubホストのリポジトリから二次ペイロードをダウンロードする"] class action_ingress action malware_persistence["<b/>アクション – <b/>T1547.001 ブートまたはログオンの自動開始実行:レジストリランキー/スタートアップフォルダ</b><br/>説明:悪意のあるバッチファイルWindowSecuryt.batが、<br/>永続化のためにWindowsスタートアップディレクトリに配置される"] class malware_persistence persistence action_elevation["<b/>アクション – <b/>T1548 権限昇格制御メカニズムの悪用</b><br/>説明:二次バッチペイロードu-t2.batが、<br/>昇格権限で再起動しようと試みます"] class action_elevation action malware_stealer["<b/>マルウェア – <b/>名前:sim.py<br/>説明:敏感情報を収集するために設計されたPythonベースの情報スティーラー"] class malware_stealer malware action_credentials["<b/>アクション – <b/>T1555.003 Webブラウザーからの資格情報</b><br/>説明:認証情報、クッキー、およびセッションアーティファクトを収集するためにブラウザプロセスを終了させる"] class action_credentials action action_archive["<b/>アクション – <b>T1560 収集されたデータのアーカイブ</b><br/>説明:盗まれたデータを圧縮し、<br/>効率的な収集のためにZIPアーカイブにする"] class action_archive action action_exfiltration["<b/>アクション – <b>T1567 Webサービスを経由したデータ流出</b><br/>説明:Telegram Bot APIを介して、<br/>攻撃者制御のTelegramチャネルに収集されたデータを送信する"] class action_exfiltration exfiltration %% 接続セクション %% 攻撃はフィッシングから始まる action_phishing –>|leads_to| action_user_exec %% ユーザーの実行がインタープリタをトリガーする action_user_exec –>|triggers| tool_powershell %% PowerShellがインバウンドを実行する tool_powershell –>|executes| action_ingress %% インバウンドが永続性メカニズムをもたらす action_ingress –>|downloads| malware_persistence %% 永続性が権限昇格の試みにつながる malware_persistence –>|initiates| action_elevation %% 権限昇格がスティーラーのデプロイにつながる action_elevation –>|deploys| malware_stealer %% スティーラーが資格情報の収集を行う malware_stealer –>|performs| action_credentials %% 収集はアーカイブに至る action_credentials –>|results_in| action_archive %% アーカイブが最終的な流出に至る action_archive –>|facilitates| action_exfiltration "
攻撃の流れ
検出
疑わしいTaskkillの実行(cmdline経由)
表示
疑わしいフォルダーからのPython実行(cmdline経由)
表示
疑わしいPowerShellによるZIPファイルのダウンロード(cmdline経由)
表示
PowerShellによるダウンロードまたはアップロード(cmdline経由)
表示
パブリックユーザープロファイルからの疑わしい実行(プロセス作成経由)
表示
疑わしいCURLの使用(cmdline経由)
表示
PowerShellからの疑わしい.NETメソッド呼び出し(powershell経由)
表示
スタートアップ場所の疑わしいバイナリ/スクリプト(ファイルイベント経由)
表示
パブリックユーザープロファイル内の疑わしいファイル(ファイルイベント経由)
表示
コマンド&コントロールチャネルとして可能性のあるTelegramの悪用(dns_query経由)
表示
情報スティーラーデプロイメントにおけるPython実行とTaskkill使用 [Windowsシステム]
表示
スタートアップ永続化スクリプトでの難読化されたCURLコマンドの検出 [Windowsプロセス作成]
表示
ペイロード展開とスタートアップ永続化のためのPowerShellコマンド [Windows Powershell]
表示
シミュレーション実行
前提条件: テレメトリー & ベースライン事前チェックが合格している必要があります。
理由: このセクションでは、検出ルールを引き起こすために設計された敵対者テクニック(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映する必要があり、検出論理によって期待される正確なテレメトリーを生成することを目指します。抽象的または無関係な例は誤診を招きます。
-
攻撃のストーリー&コマンド: 攻撃者は初期アクセスを成功させ、Pythonベースの情報スティーラーである
sim.pyをC:UsersPublicDesktopsLibにドロップしました。目的は、ChromeおよびEdgeから資格情報を収集することです。ユーザープロファイルのデータベースロックを防ぐために、攻撃者はPythonスクリプトを実行後、即座にtaskkillコマンドを実行してブラウザプロセスを終了させます。この一連の動作は、自動化されたマルウェアの動作を模倣するように設計されています。 -
リグレッションテストスクリプト:
# 1. 環境をセットアップする(攻撃者のフットプリントをシミュレーション) $targetDir = "C:UsersPublicDesktopsLib" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } $scriptPath = "$targetDirsim.py" "print('データを盗む...')" | Out-File -FilePath $scriptPath -Encoding utf8 # 2. 「悪意のある」Pythonスクリプトを実行する(トリガー選択1) Write-Host "Pythonスクリプトを実行中..." Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait # 3. Taskkill コマンドを実行する(トリガー選択2) Write-Host "Taskkill コマンドを実行中..." $browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe") foreach ($browser in $browsers) { Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue } -
クリーンアップコマンド:
# シミュレートされたマルウェアファイルとディレクトリを削除する Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force