TokyoBlackHatNews

gbhackers.com 4分で読了

シルバー・フォックスのハッカーが所得税を装ったフィッシング誘導でインドの組織を標的に

CloudSEKの脅威インテリジェンス研究者は、所得税をテーマにした誘導を用いてインドの組織を標的とする高度なフィッシング・キャンペーンを発見し、中国寄りのSilver Fox APTグループによるものだと結論づけた。

このキャンペーンは、長期的な永続化と動的なペイロード配信の能力を備えたモジュール型リモートアクセス型トロイの木馬であるValley RATを配信する、高度な多段階マルウェア・チェーンを採用している。

この発見は、当該キャンペーンをSilver Foxに帰属させた初の公的な事例であると指摘しており、インドの防御側にとって正確な脅威アクターの特定が重要であることを示している。

Image
キルチェーン。

SideWinderのようなインド寄りの脅威グループに類似のフィッシング誘導を誤って帰属させることは、キャンペーンの被害者像(victimology)や運用パターンと根本的に矛盾する。

帰属の正確性はインシデント対応の有効性に直結する。脅威アクターの正体について誤った情報を与えられた組織は、誤った敵対者に対する対抗策を展開してしまい、実際の攻撃者はネットワーク内で未検知のまま残ることになる。

このキャンペーンは、視覚的に本物らしい所得税局の文書をデコイとして利用し、潜在的な被害者に正規に見えるよう設計されたなりすましインフラ上に悪性PDFをホスティングしている。

クリックされると攻撃チェーンが自動的に開始され、セキュリティ研究者やサンドボックス環境による検知を防ぐ高度な回避技術と解析妨害手順が示される。

技術的キルチェーン分析

初期侵入ベクターは、公式の所得税関連の連絡を装った特別に細工されたPDFを含む悪性メール添付ファイルに依存している。

ユーザーが操作すると、PDFは「tax affairs.exe」の自動ダウンロードをトリガーする。これはNullsoft Scriptable Install System(NSIS)のインストーラーで、攻撃ペイロードの第1段階を含んでいる。

Image
ドロップされたファイル。

インストーラーは、悪性のlibexpat.dllとともに配布されるXunleiダウンロードマネージャーの正規実行ファイルThunder.exeに対してDLLハイジャックを用いる。

Thunder.exeが一時ディレクトリから実行されると、Windowsの既定のDLL検索順序によりlibexpat.dllが最初に読み込まれ、マルウェアの中核ロジックが完全にメモリ上で実行される。

libexpat.dllのペイロードは、デバッグツールを検出するためのプロセス列挙やサンドボックス環境の検証など、広範な解析妨害技術を実装している。

正規の環境での実行を確認した後、Windows Updateサービスを無効化し、box.iniからペイロードを復号し、プロセスホローイングを用いてこのシェルコードをexplorer.exeに注入する。これはステルス性を維持しつつ永続的なコード実行を確立する手法である。

最終ペイロードは、3層のC2フェイルオーバー・インフラで構成された高度なリモートアクセス型トロイの木馬であるValley RATを展開する。

マルウェアは、設定可能なスリープ間隔を伴う動的ビーコニングを実装し、ノイズ低減によって検知可能性を下げる。

重要なのは、Silver Foxのオペレーターが、バイナリを再配布したり初期アクセスを取り直したりすることなく、Windowsレジストリ操作を通じて更新されたC2アドレスをプッシュできる点である。

Valley RATのプラグイン・アーキテクチャにより、侵害後の機能をオンデマンドで展開できる。

高度なキーロギング、認証情報ハーベスター、ラテラルムーブメントツールなどのダウンロードされたモジュールは、システム再起動後も自動的に永続化するため、レジストリのREG_BINARY値として保存される。この設計により、攻撃者は被害者の価値に応じて侵害内容をカスタマイズし、必要な場合にのみ特化したスパイ活動能力を提供できる。

防御上の示唆

このキャンペーンは、主要C2インフラ(b.yuxuanow.top)をローテーションする二次ドメインが支える形でインフラを区画化しており、洗練された脅威アクターとしての成熟度を示している。

注入されたペイロードは、ホロー化されたexplorer.exeプロセスにデバッガをアタッチし、VirtualAllocExで割り当てられたメモリ領域を監視することでダンプできる。

Image
メモリ内の暗号化ペイロード。

組織は、静的な指標ではなく行動シグネチャに焦点を当てた検知戦略を実装すべきである。非標準パス配下のレジストリ異常を監視し、複数層のC2リトライ・パターンを検出し、一時ディレクトリからの署名付きバイナリ実行と異常なDLLロードの組み合わせに対してアラートを出す。

メモリ常駐実行とレジストリベースの永続化の組み合わせは、インシデント対応とマルウェア根絶の取り組みを大幅に複雑化させる。

脅威が長期間の感染中に未検知のまま残り得ることを踏まえると、RAT機能の有効化、特にキーロギングAPIの有効化を能動的にハンティングすることは、データ流出が発生する前の重要な早期警戒となる。

翻訳元: https://gbhackers.com/silver-fox-hackers/

ソース: gbhackers.com
#C2(コマンド&コントロール)インフラ #DLLハイジャッキング #Silver Fox APT #Valley RAT #インド標的 #フィッシング攻撃 #プロセスホロウイング #マルウェア感染チェーン #レジストリ永続化 #所得税(Income Tax)偽装

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚