TokyoBlackHatNews

gbhackers.com 5分で読了

OilRig、LSBステガノグラフィを使用してGoogle DriveイメージのC2構成を隠蔽

APT-C-49(OilRig)はイランの国家支援を受けた高度な持続的脅威グループで、APT34およびHelix Kittenとしても知られており、LSBステガノグラフィを使用してGoogle Driveイメージ内にコマンド・アンド・コントロール構成を隠蔽する高度な新しい攻撃キャンペーンを展開しました。

同グループは少なくとも2014年から活動しており、主に中東、米国、ヨーロッパ、アジア全域の政府、エネルギー、通信、金融部門を標的としています。

最近のキャンペーンは、クラウドサービス悪用、ステガノグラフィ、メモリ実行技術を組み合わせた非常に隠蔽性の高い攻撃チェーンを活用しています。

攻撃はイランの全国的なプロテストをテーマにした悪意のあるExcelファイルで始まり、被害者にマクロを有効にするよう騙すために「Tehran final list」のようなソーシャルエンジニアリング誘い文句を使用します。

360 Advanced Threat Research Instituteのセキュリティ研究者は、2026年初頭の通常のAPT脅威ハンティング活動中に攻撃サンプルを発見しました。

マクロが有効になると、VBAコードはCustomXMLPartsからC#ソースコードをデコードします。正規のWindowsコンパイラcsc.exeを使用してそれを悪意のあるローダーにコンパイルします。

このファイルレス技術は、事前にコンパイルされた実行ファイルをディスクにドロップすることを避けることにより、マルウェアが従来のアンチウイルス検出を回避するのに役立ちます。

LSBステガノグラフィがデータを隠蔽

コンパイルされたローダーは、ハードコードされたGitHubリポジトリにアクセスしてGoogle Drive共有リンクを指す暗号化された構成データを取得します。

Google Driveリンクは通常の画像ファイルに見えるものをダウンロードしますが、LSB(最下位ビット)ステガノグラフィを使用して埋め込まれた暗号化された構成情報が含まれています。

Image

LSBステガノグラフィは、デジタル画像のピクセル値の最下位ビットを隠しデータに置き換えることで機能し、変更は人間の目にはほぼ認識されません。

画像をダウンロード後、ローダーは特定のLSBアルゴリズムを使用して隠れた構成を抽出してから、Base64およびXOR操作を使用してそれを復号化します。

復号化された構成は、永続性、アップロード、ダウンロード、コマンド実行、プログラム実行コンポーネントを含む複数の後続モジュールのダウンロードアドレスを明かします。

これらのオブジェクトをBase64デコードしてC#ソースコード、AppVStreamingUX.exe.config、fsvc.exe.configを取得し、C#ソースコードをリリースします。

Image

構成の抽出に成功した後、マルウェアはTelegram Bot APIを介して暗号化されたコマンド・アンド・コントロールチャネルを確立します。

この技術により、OilRigは悪意のあるトラフィックを正規のクラウド通信とブレンドでき、セキュリティチームにとって検出がかなり困難になります。

マルウェアは各機能モジュールをメモリに動的にロードし、DLL実行、ファイルのアップロードとダウンロード、コマンド実行、任意のプログラム起動などの操作をサポートします。

OilRigは、Google Drive、GitHub、Telegramなどの正規のクラウドプラットフォームにますます依存してマルウェアを配布し、C2通信を促進しています。

このクラウド悪用戦略は、組織が通常ファイアウォールを通して許可する信頼されたサービス内で悪意のある活動を隠すことにより、攻撃の検出面を効果的に削減します。

帰属と進化

セキュリティ研究者は、いくつかの主要な指標に基づいてこのキャンペーンをAPT-C-49(OilRig)に帰属しました。

CLRがAppDomainを作成すると、自動的にInitializeNewDomain()メソッドがトリガーされ、次にExecuteCoreLogic()スレッドが開始されます。

Image

攻撃チェーン構造は、過去のAPT34戦術との強い一貫性を示しており、Excelワークブックイベント、Base64デコードを備えたVBAマクロ、永続性のためのスケジュール済みタスクの使用が含まれます。

さらに、初期テストコードと本番サンプルの両方にペルシャ語のコメントが含まれており、開発者の母語がイランの起源と一致していることを示しています。

このキャンペーンはOilRigの以前の操作から大きな進化を表しています。同グループは基本的なExcelマクロベースのローダーから、クラウドサービス悪用、ステガノグラフィック隠蔽、ファイルレスのメモリ内実行を特徴とする洗練された多段階攻撃チェーンへシフトしています。

構成はGoogle Driveリンクを生成し、pr(永続モジュール)、up(アップロードモジュール)、do(ダウンロードモジュール)、cm(コマンド実行モジュール)、runApp(プログラム実行モジュール)を指しています。

Image

組織はいくつかの防御措置を実装することにより、これらの高度な攻撃から身を守ることができます。ネットワークモニタリングは、クラウドストレージサービスへの異常なアクセスパターンとTelegramなどのプラットフォームとのAPI型通信にフラグを立てるべきです。

セキュリティチームは特に地域の社会的または政治的イベント周辺のテーマである疑わしいマクロ対応のOfficeドキュメントを監視する必要があります。

高度な行動分析は、csc.exeなどの正規のWindowsツールを使用した異常なファイルコンパイル活動を特定するのに役立つことができます。

翻訳元: https://gbhackers.com/oilrig-hides-c2-config/

ソース: gbhackers.com
#APT-C-49 #C2通信 #Excelマクロ #Google Drive悪用 #OilRig #Telegramボット #イラン国家支援APT #ステガノグラフィ #ファイルレス攻撃 #マルウェア

関連記事

MicrosoftがOutlookのインボックスとカレンダータスク向けCopilotエージェントモードを拡張

中国系スミッシング詐欺グループがSMS及びOTTアプリ経由で認証情報盗難を拡大

Sandwormが長期的なステルス持続性を実現するためにSSH-over-Torトンネルを使用