オペレーション・レストリンク：日本を標的としたAPTキャンペーンの検知

2022年4月以降、研究者たちは日本の組織を特に狙った一連の標的型サイバー攻撃を観察しています。このキャンペーンは「Operation RestyLink」と呼ばれ、2022年3月までに少なくとも活発に活動していると信じられ、2021年10月まで遡って関連する悪意のある活動が追跡されています。正確な帰属は現在不明ですが、攻撃のキルチェーンとその高度に標的化された性質は、洗練されたAPTがこの悪質な操作に関与していることを示唆しています。

Operation RestyLinkを検出する

Operation RestyLinkの持続性の手法に関連する悪意のある活動を特定するために、私たちの警戒心に満ちたThreat Bounty開発者が提供するSigmaルールをダウンロードしてください。 オスマン・デミル.

Officeアプリケーションのスタートアップにドットファイルを書き込むことによる疑わしいOperation RestyLinkの持続性 [日本をターゲット] (cmdline経由)

前述のSigmaルールは、23のSIEM、EDR、XDR環境全体で利用可能で、MITRE ATT&CKフレームワークにマッピングされており、Persistence戦術に対応するOffice Application Startup (T1137) 技術に対応しています。

を押して、検出内容を探る ボタンを押して、現在および新たに出現するAPT攻撃向けの検出コンテンツの完全なリストにアクセスしてください。

検出内容を探る

攻撃のキルチェーンと帰属

詳細な inquiry をSOCアナリストの小池倫太郎が実施したところ、最新のRestyLink攻撃はフィッシングメールから始まることが判明しました。メールには悪意のあるURLが本文に挿入されています。犠牲者がリンクをクリックするよう騙された場合、圧縮ファイル（ZIP形式）が攻撃者のサーバからドロップされます。実行された場合、LNKファイルはWindowsコマンドを利用してMicrosoftスタートアップフォルダにDOTファイルをドロップします。同時に、デコイPDFが画面に表示されるため、犠牲者はバックグラウンドで進行中の疑わしいプロセスから注意をそらされます。

2022年4月およびそれ以前に発生した類似の侵入の分析により、敵対者は同じ手順に従いますが、異なるファイルタイプや手法を使用していることが判明しました。例えば、脅威者はフィッシングを通じて悪意のあるISOファイルを送り、悪意のあるDLLを含むEXEファイルをドロップしました。このDLLは、感染したマシンにCobaltSrtike StrangerをドロップするUPXで圧縮されたGoダウンローダーであることが判明しました。

同じインフラストラクチャは、2022年1月から3月および2021年10月から11月にかけて日本に対する攻撃で使用されました。セキュリティ専門家は攻撃の標的性とその高度な性質を指摘し、APTアクターが作戦の背後にいる可能性があると結論付けています。正確な帰属は現在不明ですが、低い確信度で研究者は DarkHotel, Kimsuky, APT29、または TA416 を可能な攻撃オペレーターとして示しています。

協力的なサイバー防衛の力を活用して脅威ハンティングの速度を上げるために、 SOC PrimeのDetection as Codeプラットフォームに参加してください。サイバー脅威に関する有用で関連性のある情報を瞬時に発見し、専用のSigmaルールと25以上のSIEM、EDR、XDRソリューション用のオンザフライ翻訳にアクセスし、サイバー防衛能力を強化するために脅威ハンティングおよび脅威検出運用を自動化してください。