SideCopyがアフガニスタン財務省に対して持続型XenoRATを展開

パキスタンと関連する脅威アクターSideCopyは、アフガニスタン財務省（MoF）を標的とした高度に標的化されたスピアフィッシングキャンペーンを展開しました。この作戦は、より広範なTransparent Tribe（APT36）の傘下で活動し、全34州の歳入局を精密に標的としています。

Seqriteの脅威インテリジェンスレポートによると、このキャンペーンは欧州の防弾ホスティングインフラにビーコン送信を行うカスタマイズされたXenoRAT 1.8.7インプラントの展開によって終結します。

攻撃シーケンスは、悪意のあるLNKファイルを含むZIPアーカイブから始まります。脅威アクターはこのファイルに、「知的・心理戦セミナーに紹介された従業員リスト」を意味する入念に作成されたパシュトー語のファイル名を付けました。

アフガニスタンの政府機関全体で主要言語であるパシュトー語を使用していることは、標的環境および州の財政担当者に対する深い作戦上の精通を示しています。

SideCopyが持続型XenoRATを展開

実行されると、マルウェアは全34州にわたる詳細な州職員名簿を含むおとり文書を投下します。この文書には、ダリー語とパシュトー語の両方で財政局長、歳入局長、および直通携帯番号が記載されています。

Seqriteは、このレベルの詳細情報は、キャンペーン開始前に脅威アクターが広範な事前インテリジェンス収集を行ったことを示唆していると指摘しています。

このキャンペーンは、あらゆる層でのディスクアーティファクトを最小化し、検出を回避するよう設計された高度な感染チェーンを通じて実行されます。

この展開シーケンスの主要ステージは以下の通りです：

• LNKファイルはmshta.exeをLiving-off-the-Land Binary（LOLBIN）として悪用し、侵害されたアフガニスタンの教育ドメイン（abimj[.]edu[.]af）からリモートHTAペイロードを静かに取得します。
• 第2ステージは、Loader DLLを読み込むためのカスタムBase64デコードルーティンと16進エンコードされた文字列配列を含む、高度に難読化されたJScriptペイロードを配信します。
• 第3ステージでは、おとりPDFを投下しながら、Microsoft Edgeを模倣するタイポスクワッティングの値「Edgre」という名前でレジストリベースの永続性を確立する.NET DLLが導入されます。
• 2番目の.NETシェルコードローダーが偽装されたペイロード（ayui.vmxx）をダウンロードし、VirtualAlloc()とCreateThread()を使用してメモリ上で完全に再構築します。
• マルウェアはAmsiScanBuffer()にパッチを適用してAMSIスキャンを無効化した後、Assembly.Loadを使用して完全にリフレクティブなファイルレスのメモリ内実行を行います。

最終ステージではXenoRAT 1.8.7が配信され、AES暗号化・RTL圧縮されたトラフィックを使用してTCP経由でコマンド＆コントロール（C2）サーバーに接続します。

SideCopyは、ハードコードされたミューテックス「clouda」を使用して侵害されたホスト上でシングルインスタンス実行を強制します。展開後、XenoRATはキーロギング、画面キャプチャ、ウェブカメラ監視、SOCKS5ネットワークトンネリングを備えた包括的なポストエクスプロイテーションツールキットを提供します。

Seqriteは、このXenoRATの採用がSideCopyの以前のAsyncRATキャンペーン以降におけるカスタマイズされたオープンソースマルウェアへの移行という文書化されたシフトと一致していることを確認しました。

攻撃者は意図的に悪意のあるトラフィックをアフガニスタン政府の正規資産と並べて配置し、配信ドメインをAS58469にルーティングしました。

さらに、RAT C2サーバー（185.235.137.106）は、以前に他のSideCopyインフラクラスターと関連付けられていたフランクフルトを拠点とする防弾プロバイダーに依存しています。

侵害の痕跡（IoC）

注意： IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング（例：[.]）されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。