中〜高程度の信頼度でパキスタンと関連するAdvanced Persistent Threat(APT)グループ「SideCopy」に帰属するとされる、高度に標的を絞ったスピアフィッシングキャンペーンが確認された。同グループはより広範なTransparent Tribe / APT36の傘下で活動している。
Seqriteによると、このキャンペーンはアフガニスタン財務省(MoF)および全34州の歳入局(Mustoufiats)を精密に標的とし、最終的にはヨーロッパのバレットプルーフインフラへのビーコン通信を行うカスタマイズされたXenoRAT 1.8.7インプラントを展開するものだという。
攻撃は、悪意のあるLNKファイルを含むZIPアーカイブから始まる。そのLNKファイルには、「知的・心理戦セミナーに紹介された職員名簿」と訳されるパシュトー語のファイル名が巧みに付けられている。
アフガニスタンの政府機関で主要言語として使われているパシュトー語を意図的に使用していることは、標的環境および各州の財務当局者に対する深い作戦上の習熟度を示していると、Seqriteは述べている。
実行時に投下されるおとり文書は、全34州にわたるアフガニスタン財務省の州別職員名簿であり、財務局長、歳入局長、直通の携帯電話番号がダリー語とパシュトー語で記載されている。これは、キャンペーン開始前に脅威アクターが広範な事前情報収集を行っていたことを示している。
このキャンペーンは、ディスク上の痕跡を最小限に抑え、あらゆる層での検出を回避するよう巧妙に設計された感染チェーンを通じて実行される。
チェーンはLNKファイルがmshta.exeをLiving-off-the-Land Binary(LOLBIN)として悪用することから始まり、侵害されたアフガニスタンの教育ドメインabimj[.]edu[.]afからリモートのPHPホスト型HTAペイロードをひそかに取得し、すべてのスクリプトコンテンツをメモリ上で完全に実行する。
第2ステージでは、16進数エンコードされた文字列配列、カスタムのBase64デコードルーチン、およびActiveXObject経由で実行される.NET BinaryFormatter.Deserialize_2()を含む、高度に難読化されたJScriptペイロードがローダーDLLをロードする。
第3ステージでは.NET DLLが導入され、被害者の注意をそらすためのおとりPDFを同時に投下し、ディレクトリC:\Users\Public\USOShared-1de48789-1285\を作成する。さらに、正規のMicrosoft Edgeプロセスを偽装するためにタイポスクワッティングの値名「Edgre」を使用して、HKCU\...\CurrentVersion\Run配下にレジストリベースの永続化を確立する。
第4ステージでは、2つ目の.NETシェルコードローダーDLLがayui.vmxxに偽装されたGZIP圧縮・Base64エンコードのペイロードをダウンロードし、RWXパーミッションを持つVirtualAlloc()を使用してメモリ上で完全に再構築し、CreateThread()経由で実行をトリガーする。
Seqriteによると、最終ペイロードを起動する前にAmsiScanBuffer()をパッチしてAMSIスキャンを無効化し、Assembly.Load(byte[])を使用して完全にリフレクティブなファイルレスのメモリ内実行を行うという。
第5段階、すなわち最終ステージではXenoRAT 1.8.7が展開され、AES暗号化およびRTL圧縮されたトラフィックを使用してTCP経由でC2サーバー185.235.137.106に接続し、ミューテックス「clouda」によって侵害されたホスト上での単一インスタンス実行が強制される。
SideCopyがXenoRATを採用したことは、カスタマイズされたオープンソースRATへのグループの移行という文書化された傾向と一致しており、Seqrite Labsは以前のAsyncRAT採用に続いて2024年12月にこのパターンを確認している。
展開されると、XenoRATはキーロギング、画面キャプチャ、ウェブカメラおよびマイクによる監視、SOCKS5ネットワークトンネリング、Assembly.Loadによる動的なメモリ内DLLロードなど、包括的な侵害後ツールキットを提供する。
配信ドメインabimj[.]edu[.]afはAS58469内のIP103.132.98.224および103.132.98.226に解決されており、200を超える正規のアフガニスタン政府サイトと並べて悪意あるトラフィックを意図的に紛れ込ませていた。
RATのC2サーバー185.235.137.106は、フランクフルトのHZ Hosting Ltd(AS59711)によってホストされており、ブルガリア登録のバレットプルーフプロバイダーである。同プロバイダーはSeqriteが追跡する過去のSideCopyインフラクラスターで以前から記録されている。
配信パス(cloudiyaf)とRATのハードコードされたミューテックス(clouda)の命名上の重複は、両方のインフラ層を攻撃ライフサイクル全体を管理する単一のオペレーターに結びつけている。
LNK → mshta.exe → リモートHTA実行チェーンは、2019年以降一貫して記録されているSideCopyの特徴的なTTPであり、Windowsアプリケーション名のタイポスクワットを利用したレジストリ永続化も、同グループの文書化された侵害後の行動と同様に一致している。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的にデファング処理されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
翻訳元: https://cyberpress.org/sidecopy-apt-deploys-xenorat/
