イラン関連の高度な継続的脅威グループ(APT)として知られるScreening Serpensは、UNC1549およびSmoke Sandstormとしても追跡されており、MiniUpdateと呼ばれる新たに特定された遠隔アクセストロージャン(RAT)ファミリーを使用して、米国、イスラエル、アラブ首長国連邦の標的に対して展開する高度なスパイ活動キャンペーンを実行しています。
Screening Serpensは少なくとも2022年以降活動していますが、最近の活動は技術的能力の急速な向上を反映しています。
同グループの活動ペースは2026年3月から4月を通じて一貫して高い状態が続いており、米国、イスラエル、UAE、および少なくとも2つの中東の追加エンティティの組織からVirusTotalにアップロードされたサンプルがあります。
6つの亜種は2つの異なるマルウェアファミリーに分類されます:新たに発見されたMiniUpdateと、以前に文書化されたMiniJunk V2という バックドアの進化版です。
両ファミリーは、標的型スピアフィッシングルアで始まり、実行にDLLサイドローディングを活用する同じ感染チェーンアーキテクチャを共有していますが、各標的に専用の3~5個のAzureホストドメインで構成される独立したC2インフラストラクチャセットを機能としており、この設計により被害者間の相互汚染を防ぎ、作戦の弾力性を強化しています。
MiniUpdateは、ペイロード内に見つかる内部DLLファイルUpdateChecker.dllに由来する名前です。攻撃者は3月の米国キャンペーン中に、グローバルエアキャリアになりすまして作成されたアーカイブファイルを通じてマルウェアを配信し、シニアIT職およびエンジニア職を対象とした現実的なジョブIDを持つ偽のPDF求人票を使用して技術者を騙し、ネストされたHiring Portal.zipペイロードを抽出させました。
イスラエルのエンティティを対象とした並行キャンペーンでは、同グループは人気のビデオ会議プラットフォームになりすまし、被害者をフィッシングランディングページに誘導し、ターゲットが「会議に参加」しようとしたときにサードパーティのファイル共有サービスから悪意のあるダウンロードをトリガーしました。
Unit 42は、GBhackersと共有されたレポートで、2026年2月中旬から4月の間に開発および展開された6つの新しいRAT亜種を特定しました。この急増は、2026年2月28日の中東での地域紛争の開始と密接に一致しています。
4月中旬のUAEおよび別の中東エンティティを標的とするキャンペーンでは、脅威アクターはC2ドメインをローテーションしてPremierHealthAdvisory.azurewebsites[.]netなどの医療セクター組織になりすまし、Ramiltonsfinance.azurewebsites[.]netを通じて金融サービスエンティティになりすましました。
これらのAzureホストドメインは正当なクラウドサービストラフィックに混在し、ネットワークレベルの検出を大幅に困難にしています。
MiniUpdate RATがAzure C2を悪用
MiniUpdateで観察された最も重要な技術的進化は、AppDomainManagerハイジャッキングの使用です。これは正当なアプリケーション構成ファイルを操作して.NET共通言語ランタイム(CLR)の初期化プロセスを傍受および制御する.NET固有のコード実行手法です。
setup.exe.configに特定のXMLディレクティブを挿入することで、マルウェアはホストアプリケーションが開始される前にCLRに独自のセキュリティメカニズムをオフにするよう指示します。
構成に組み込まれた主要な回避ディレクティブには、現代のEDRソリューションで使用される主要なテレメトリソースであるイベントトレーシング(ETW)を<etwEnable enabled=”false”/>タグで無効にすること、<bypassTrustedAppStrongNames enabled=”true”/>で強力な名前署名検証をバイパスすること、およびパブリッシャーポリシーリダイレクションを無効にすることが含まれます。
このliving-off-the-land手法により、悪意のあるInitInstall.dllペイロードは完全に監視されず、非常に特権のあるコンテキストで実行され、通常は行動検出エンジンに警告する疑わしいメモリパッチング動作をトリガーすることなく実行できます。
CLRがハイジャックされると、マルウェアは多段階実行チェーンを進めます。第1段階では4つのファイルを削除してvictimのローカルAppDataディレクトリの下の隠されたインストールパスに名前変更し、毎日午前09:30ローカル時刻に発火するように構成されたWindows Task Schedulerエントリを通じて永続化を確立します。
第2段階では、名前変更されたバイナリ(update.exe)に回避構成を再度適用し、2つの環境チェックを実行します。実行中のプロセス名を検証し、親プロセスがsvchost.exeであることを確認します。このチェックは、サンドボックスやセキュリティアナリストによって直接実行された場合、サイレント終了を引き起こします。
最終的なMiniUpdateペイロードは3つのAzureホストC2サーバをサイクルし、/agent/pollエンドポイントへのGETリクエスト経由で通信し、Base64デコードされたバイナリコマンド形式を処理します。
被害者がルアー指示に従い、手動で武装化されたPortal.zipアーカイブを取得してダウンロードすると、攻撃実行が進みます。このアーカイブにはSetup.exeという名前のファイルと3つの隠しファイルが含まれています。
3月の亜種は、任意のシェルコマンド実行、メモリへの動的DLLロード、プロセスの列挙と終了、ファイル流出、およびUAC特権昇格をカバーする16個の異なるオペコードをサポートしています。
4月の亜種は、コマンドディスパッチャーを18個のオペコードに拡張し、より目立たない大規模ファイル流出のためのチャンク化ファイルアップロード機能を追加しました。
注目すべきことに、MiniUpdateはC2ドメインとAPI名を.rdataセクション内のプレーンテキストに格納しています。これはUnit 42が急速な展開サイクルまたはグループ内の別の開発セルを示す可能性があると評価するOPSEC上の欠陥です。
2番目のマルウェアファミリーであるMiniJunk V2は、同じDLLサイドローディングおよびAppDomainManagerの感染チェーンを共有していますが、重い混合ブール演算算とXOR難読化および約12MBの膨張したバイナリサイズを備えています。これは自動サンドボックスでのファイルサイズ制限をバイパスするための意図的な技術です。
その5つのC2ドメインはAzureでホストされているlicencemanagers.azurewebsites[.]netおよびThemesManagers.azurewebsites[.]netを含む正当なWindowsサービス名になりすまし、通信は偽造されたMicrosoft Edgeブラウザユーザーエージェント文字列を使用しています。
2026年3月の米国を標的とするMiniJunk V2の亜種は、ハードコードされた日付ベースの有効性チェックを埋め込み、2026年3月27日午後13:30:00 UTC前に実行を拒否します。これは展開前のセキュリティスクリーニング中にサンドボックス分析を回避するために設計された手法です。
Unit 42は、防御者にシグネチャベースの検出を超えて移行し、EDRツールをDLLサイドローディングおよびAppDomainManagerハイジャッキングを高リスク動作としてフラグを立てるようにチューニングするよう促しています。信頼できる署名付きバイナリが信頼できないモジュールをロードしている場合は、異常として扱う必要があります。
ネットワーク防御者は、セクターに関連する組織になりすます一貫した命名パターンを使用するAzureホストサブドメインクラスターを監視する必要があります。
航空宇宙、防衛、電気通信、および技術セクター(Screening Serpensによって標的化された主要な業種)の組織は高度の警戒状態にあるべきです。Unit 42は、同グループの活動が2026年4月の時点で減速の兆候を示さず、近い将来のさらなる適応キャンペーンを維持する可能性があると評価しています。
侵害の兆候
| ドメイン | URL |
|---|---|
| licencemanagers.azurewebsites[.]net | hxxps[:]//docspace-y4cumb.onlyoffice[.]com/storage/files/root/folder_3602000/file_3601577/v1/content.zip[…] |
| LicenceSupporting.azurewebsites[.]net | hxxps[:]//app[redacted][.]live/meeting/edcdba624ddb43c2a1dcf334aa493068 |
| PeerDistSvcManagers.azurewebsites[.]net | hxxps[:]//docspace-twpf0e.onlyoffice[.]com/storage/files/root/folder_3765000/file_3764519/v1/content.zip?filename=remote.[REDACTED].zip |
| ThemesManagers.azurewebsites[.]net | hxxps[:]//2117.filemail[.]com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm |
| ThemesProviderManagers.azurewebsites[.]net | |
| docspace-y4cumb.onlyoffice[.]com | |
| NanoMatrix.azurewebsites[.]net | |
| QuantumWeave.azurewebsites[.]net | |
| ElementShift.azurewebsites[.]net | |
| business-startup[.]org | |
| business-startup.azurewebsites[.]net | |
| Businessstartup.azurewebsites[.]net | |
| app[redacted][.]live | |
| buisness-centeral.azurewebsites[.]net | |
| buisness-centeral-transportation.azurewebsites[.]net | |
| Buisness-centeral-transportation[.]com | |
| docspace-twpf0e.onlyoffice[.]com | |
| PremierHealthAdvisory[.]com | |
| PremierHealthAdvisory.azurewebsites[.]net | |
| Premier-HealthAdvisory.azurewebsites[.]net | |
| Ramiltonsfinance[.]com | |
| Ramiltonsfinance.azurewebsites[.]neti | |
| Ramiltons-finance.azurewebsites[.]net |
注記: IPアドレスとドメインは意図的に難読化されています(例:[.])。誤った解決またはハイパーリンクを防ぐため、MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ復元してください。
翻訳元: https://gbhackers.com/miniupdate-rat-abuses-azure-c2/
