中〜高度の信頼性でパキスタンと関連するSideCopyに帰属されるAPTグループが、より広範なTransparent Tribe / APT36の傘下で活動しており、高度に標的を絞ったスピアフィッシングキャンペーンを展開しています。
Seqriteによると、このキャンペーンはアフガニスタン財務省(MoF)および全34州の歳入局(Mustoufiats)を外科的に標的とし、最終的には防弾ヨーロッパインフラへのビーコン通信を行うカスタマイズ版XenoRAT 1.8.7インプラントを展開します。
攻撃は、「知的・心理戦セミナーに紹介された職員リスト」と訳されるパシュトー語ファイル名が巧妙に細工された悪意あるLNKファイルを含むZIPアーカイブから始まります。
アフガニスタンの政府機関全体で支配的な言語であるパシュトー語を意図的に使用していることは、標的環境および州財務官への深い作戦上の精通を示していると、Seqriteは述べています。
実行中に投下されるおとり文書は、全34州にわたるアフガニスタン財務省の詳細な州職員名簿であり、ダリー語とパシュトー語で財務局長、歳入局長、直通携帯番号が記載されており、キャンペーン開始前に脅威アクターが広範な事前情報収集を行ったことを示唆しています。
このキャンペーンは、あらゆる層でディスクへの痕跡を最小化し、検出を回避するよう設計された高度な感染チェーンを通じて実行されます。
チェーンはLNKファイルがLiving-off-the-Land Binary(LOLBIN)としてmshta.exeを悪用することから始まり、侵害されたアフガニスタンの教育ドメインabimj[.]edu[.]afからリモートのPHPホスト型HTAペイロードを静かに取得し、すべてのスクリプトコンテンツを完全にメモリ上で実行します。
第2ステージでは、16進エンコードされた文字列配列、カスタムBase64デコードルーチン、およびActiveXObject経由で実行される.NET BinaryFormatter.Deserialize_2()を含む高度に難読化されたJScriptペイロードが配信され、ローダーDLLを読み込みます。
第3ステージでは、.NET DLLが同時におとりPDFを投下して被害者の注意をそらし、ディレクトリC:\Users\Public\USOShared-1de48789-1285\を作成し、正規のMicrosoft Edgeプロセスを模倣するタイポスクワッティングの値名「Edgre」を使用してHKCU\...\CurrentVersion\Run配下にレジストリベースの永続性を確立します。
第4ステージでは、2つ目の.NETシェルコードローダーDLLがayui.vmxxとして偽装されたGZIP圧縮・Base64エンコードされたペイロードをダウンロードし、RWX権限でVirtualAlloc()を使用して完全にメモリ上で再構築し、CreateThread()経由で実行をトリガーします。
Seqriteによると、最終ペイロードを起動する前にAmsiScanBuffer()にパッチを当ててAMSIスキャンを無効化し、完全にリフレクティブなファイルレスのメモリ内実行のためにAssembly.Load(byte[])を使用します。
第5段階かつ最終ステージでは、XenoRAT 1.8.7が展開され、ミューテックス「clouda」が侵害されたホスト上での単一インスタンス実行を強制しながら、AES暗号化およびRTL圧縮トラフィックを使用してTCP経由でC2サーバー185.235.137.106に接続します。
SideCopyがXenoRATを採用したことは、カスタマイズされたオープンソースRATへのグループの移行という記録された傾向と一致しており、Seqrite Labsは2024年12月にAsyncRATの採用に続くパターンとして確認しています。
展開されたXenoRATは包括的なポストエクスプロイテーションツールキットを提供します:キーロギング、スクリーンキャプチャ、ウェブカメラおよびマイクの監視、SOCKS5ネットワークトンネリング、そしてAssembly.LoadによるダイナミックなインメモリDLLローディング。
配信ドメインabimj[.]edu[.]afはAS58469内のIP103.132.98.224および103.132.98.226に解決され、200以上の正規のアフガニスタン政府サービスとともに悪意あるトラフィックを意図的にステージングしていました。
185.235.137.106のRAT C2サーバーは、Seqriteが追跡する以前のSideCopyインフラクラスターで記録されているブルガリア登録の防弾プロバイダーであるHZ Hosting Ltd(AS59711)がフランクフルトでホストしています。
配信パス(cloudiyaf)とRATのハードコードされたミューテックス(clouda)との命名上の重複は、両方のインフラ層を攻撃ライフサイクル全体を管理する単一のオペレーターに結びつけています。
LNK → mshta.exe → リモートHTA実行チェーンは、2019年以来一貫して記録されているSideCopyの典型的なTTPであり、Windowsアプリケーション名のタイポスクワットによるレジストリ永続化も同様にグループの記録されたポストエクスプロイテーション動作と一致しています。
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
翻訳元: https://cyberpress.org/sidecopy-apt-deploys-xenorat-to-target-afghanistan-finance-ministry/
