最近の展開:KMGグループがシミュレーションであり、実際の攻撃ではないと確認
幸いなことに、KMG が公に認めているように、これは実際のサイバー攻撃ではなく、内部のシミュレーション演習でした。
Contents
- イントロダクション
- 主なターゲット
- 影響を受ける業界。
- 地理的焦点。
- 感染連鎖。
- 初期の調査結果
- 悪意のあるメールを調査しています。
- おとり文書を調べています。
- テクニカル分析
- ステージ 0 – 悪意のある ZIP および LNK ファイル。
- ステージ 1 – 悪意のある BATCH スクリプト。
- ステージ 2 – 悪意のある DOWNSHELL ローダー。
- ステージ 3 – 悪意のある DLL インプラント。
- インフラと狩猟。
- 特定
- 結論
- Seqrite 保護。
- IOC
- MITRE ATT&CK。
著者: Subhajeet Singha & Sathwik Ram Prakki
イントロダクション
Seqrite Labs APTチームは2025年XNUMX月から追跡を続けており、ノイジーベアという名前で追跡している新しい脅威グループを発見しました。 騒々しいクマこの脅威グループは、カザフスタンの石油・ガス部門やエネルギー部門など、中央アジアの組織を標的としています。この攻撃はKazMunaiGasまたはKMGの従業員を標的としており、KMGのIT部門に関連する偽の文書を配布しました。この文書は、社内の公式なコミュニケーションを模倣し、ポリシーの更新、社内認証手続き、給与調整といった話題を巧みに利用していました。
このブログでは、分析中に発見したキャンペーンの詳細な技術的詳細について考察します。感染は、ZIPファイルが添付されたフィッシングメールから始まります。このメールには、悪意のあるLNKダウンローダーとデコイファイルが含まれており、さらに悪意のあるBATCHスクリプトがダウンロードされ、PowerShellローダーへと誘導されます。このPowerShellローダーは、DOWNSHELLと名付けられており、反射的に悪意のあるDLLインプラントをロードします。また、キャンペーン全体をカバーするインフラストラクチャについても考察します。
主なターゲット
影響を受ける業界
- エネルギー部門 [石油・ガス]
地理的焦点
- カザフスタン
感染連鎖
初期の調査結果
当初、私たちは2025年2025月からこの脅威アクターを追跡しており、この脅威主体がXNUMX年XNUMX月にスピアフィッシングを主眼とした手法を用いてKazMunaiGasの従業員を標的としたキャンペーンを開始したことを確認しました。侵害されたビジネスメールは、悪意のあるZIPファイルを配信するために使用されました。このZIPファイルには、おとりファイルと、悪意のある初期感染ベースのショートカット(.LNK)ファイルが含まれていました。 График зарплат.lnk(Salary Schedule.lnkと翻訳できます)。このサンプルは、2025年XNUMX月前半にVirus Totalに初めて掲載されました。
それでは、悪意のある電子メールとおとりファイルについて調べてみましょう。
悪意のあるメールを調べる
最初に、電子メール ファイルの送信者を調べたところ、脅威の攻撃者は KazMunaiGas の財務部門に勤務する個人の侵害された業務用メールを使用し、「緊急! 給与明細の更新を確認してください」という緊急の件名を付けて、KMG の従業員に電子メールで送信していたことがわかりました。
その後、メールの内容を確認したところ、メッセージは主に給与関連の議論や決定に関する人事部内の社内連絡を装うように作成されていたことが明らかになりました。メッセージの内容は、勤務スケジュール、給与、インセンティブに関する方針や決定事項など、多くの事項に関する最新情報の確認についてです。TAはまた、KMGの対象者に対し、と呼ばれるファイルを確認するよう指示しています。 グラフィック.zip Schedule.zipに翻訳され、次に グラフィック サープラット これは Salary Schedule と翻訳され、基本的には追加のステージャーをダウンロードするために実行されるショートカット (LNK) ファイルです。
最後になりましたが、メールには15年2025月XNUMX日までに指示を完了するよう記載されており、緊急性を高めています。それでは、デコイファイルを分析してみましょう。
デコイ文書を調べる
おとり文書を詳しく調べると、標的の組織である KazMunaiGas の公式ロゴと、従業員に一連の簡単な手順を指示するロシア語とカザフ語の手順書が含まれていることがわかります。手順書では、ブラウザでダウンロードフォルダを開き、KazMunayGaz_Viewer.zip という ZIP アーカイブを解凍し、KazMunayGaz_Viewer というファイルを実行するように指示されています。ファイル名は無関係ですが、これは悪意のあるメールからドロップされたファイルそのものであると確信しています。また、おとり文書では、コンソールウィンドウが表示されるまで待つようにユーザーに指示しており、標的側への疑念を最小限に抑えるため、コンソールウィンドウを閉じたり操作したりしないように特にアドバイスしています。最後に、おとり文書には上記のアーティファクトが存在するため、完全に正当なものに見せるために、挨拶文に IT サポートチームの名前も記載されています。
テクニカル分析
技術分析は 4 つの部分に分かれており、最初に、悪意のあるバッチ スクリプトをさらにダウンロードする LNK ファイルを含む悪意のある ZIP を調べ、スクリプト ベースのローダーのダウンロードに続いて悪意のある DLL をダウンロードします。
ステージ 0 – 悪意のある ZIP および LNK ファイル。
最初に ZIP ファイルを調べると、3 つのファイルが見つかりました。そのうちの 1 つは、最初に確認したおとり文書です。2 つ目は README.txt であることが判明しました。これもまた、指示が含まれていることを確認するもので、疑わしいとは思われません。そして、最後のファイルは悪意のある LNK ファイルであることが判明しました。
さて、График зарплат という名前の悪意のあるショートカット (.LNK) ファイルを調べたところ、powershell.exe LOLBIN を使用してダウンローダーベースの動作を実行していることがわかりました。
123.bat と呼ばれる悪意のあるバッチ スクリプトをリモート サーバー hxxps[://]77[.]239[.]125[.]41[:]8443 からダウンロードし、ダウンロード後、バッチ スクリプトを C:\Users\Public パスに保存し、そのパスから Start-Process コマンドレットを使用してバッチ スクリプトを実行します。
同様に、類似の LNK ファイルを探したところ、同じキャンペーンに属する、見た目が若干異なる別の LNK が見つかりました。
この悪意のある LNK ファイルは、静的署名の検出を回避するために少しオペランドを巧みに利用しますが、文字列リテラルを連結し、さらに同じリモート サーバーからバッチ スクリプトをダウンロードして、それをパブリック フォルダーに保存し、さらにコマンドレット経由で実行します。
次のセクションでは、悪意のある BATCH スクリプトを調べます。
ステージ1 – 悪意のあるBATCHスクリプト
ここで、BATCH スクリプトの 1 つ、つまり it.bat を調べてみると、support.ps1 および a.ps11 というリモート サーバーから PowerShell Loader (DOWNSHELL と名付けた) をダウンロードしていることがわかります。ダウンロードが完了すると、合計 XNUMX 秒間スリープ状態になります。
次に、123 番目のバッチ スクリプト (つまり、10.bat ファイル) を調べてみると、これも PowerShell ローダーをダウンロードし、その後 XNUMX 秒間スリープするという同じ処理を実行しています。
次のセクションでは、PowerShell で記述された DOWNSHELL ローダーの動作について理解を深めていきます。
ステージ2 – 悪意のあるDOWNSHELLローダー
このセクションでは、DOWNSHELL と名付けた悪意のある PowerShell スクリプトのセットを調べます。最初の PowerShell ファイル (support.ps1 とも呼ばれる) は基本的に、ターゲット マシンの防御を弱めるスクリプトであり、後者はローダー指向の機能を実行する役割を担っています。
コードを調べてみると、スクリプトは基本的に難読化を行っており、文字列連結で「System.Management.Automation」を構築し、すべての 読み込まれた.NETアセンブリ 現在の AppDomain 内で、FullName がその名前空間に一致するものをフィルターします。
次に、リフレクション技術を用いて内部型System.Management.Automation.AmsiUtilsを解決します。これは基本的にプライベート静的フィールドamsiInitiFailedを取得するため、このフラグを変更または反転することでPowerShellはAMSIの初期化に失敗したと判断し、DOWNSHELLファミリーに属する他の悪意のあるスクリプトはスキャンされずに、手間や中断なく実行されます。それでは、2つ目のPowerShellスクリプトを見てみましょう。
コードの最初の部分を見ると、PowerSploitとして知られる有名なレッドチームエミュレーションツールのコピー版のように見えます。関数LookUpFuncは基本的に、従来のDllImportやAdd-Type呼び出しを使用せずに、指定されたDLLからエクスポートされた関数のメモリアドレスを動的に取得します。これは、既にロードされているSystem.dllアセンブリ内でMicrosoft.Win32.UnsafeNativeMethods型を見つけ、GetModuleHandleとGetProcAddressの隠し.NETラッパーを抽出して呼び出すことで実行されます。まず対象モジュールのベースアドレス($moduleName)を解決し、それを対象関数名($functionName)と共に渡すことで、必要なAPIへの生の関数ポインタを返します。
次に、コードの2番目の部分を見てみると、関数 getDelegateType は基本的に、カスタム .NET デリゲートをメモリ内でオンザフライで作成します。この関数はパラメータの型を受け取り、特定の型を返し、それらを使って新しいデリゲートクラスを構築し、Invoke メソッドを付与して通常の関数のように使用できるようにしています。これにより、スクリプト全体で生の関数ポインタ(LookupFunc から)を PowerShell が直接呼び出せる形式にラップできるため、通常の方法でインポートすることなく WinAPI 関数を簡単に実行できます。その後、explorer.exe プロセスのプロセス ID を照会し、それを変数に格納します。
スクリプトの後半部分には、meterpreterのreverse_tcpを含むバイト配列が続く。シェルコードこれは基本的に、OpenProcess、VirtualAllocEx、WriteProcessMemory、CreateRemoteThread を使用した従来の Create-RemoteThread インジェクション手法を使用して、ターゲット プロセス (explorer.exe) 内にシェルコードを挿入し、その後に「Injected! Check your listener!」というメッセージを表示します。
さて、このスクリプトの興味深い部分は、コメントアウトされている部分で、この場合はメモ帳であるリモートプロセスに反射型DLLインジェクションを実行することです。このツールは、 パワースプロイト リモートサーバーにホストされている、ダウンロードされたMeterpreterベースのDLLが使用されています。もう一つ興味深いのは、ロシア語のコメントです。次のケースでは、DLLについて検証します。
ステージ3 – 悪意のあるDLL埋め込み
最初に、PE 分析ツールで DLL インプラントをチェックしたところ、DLL インプラントまたはシェルコード ローダーが 64 ビット バイナリであることが確認されました。
次に、コードを進めていくと、インプラントがセマフォを一種のゲートキーパーとして利用し、自身のコピーが一度に12つだけ実行されるようにしていることがわかりました。この場合、インプラントはLocal\doSZQmSnP4lu5PbXNUMXFRDという名前付きオブジェクトを使用します。インプラントは起動時にこのセマフォを作成しようとしますが、既に存在する場合は別のインスタンスがアクティブであることを意味します。念のため、セマフォに対してWaitForSingleObjectを使用し、特定の名前付きイベントを検索します。イベントが存在する場合、別のインスタンスが既にセットアップを完了していることがわかります。イベントが存在しない場合は、インプラント自身がイベントを作成します。
ここで、インスタンスの数を確認する前の関数に応じて、次のステップでは、rundll32.exe プロセスを一時停止状態で生成します。
インプラントは、プロセスを一時停止状態にした後、典型的なスレッドコンテキストハイジャックを実行します。プライマリスレッドでGetThreadContextを呼び出し、VirtualAllocExを使用してターゲットにRWXメモリを確保し、WriteProcessMemoryを使用してシェルコードをドロップし、SetThreadContextを介してスレッドのRIPを更新してそのバッファを参照するようにします。最後にResumeThreadを呼び出して、注入されたシェルコードで実行を続行します。この場合、シェルコードは基本的にリバースシェルです。
インフラと狩猟
脅威の主体が使用していたインフラストラクチャを調査したところ、それに関する興味深い詳細がいくつか見つかりました。
ツールアーセナル
脅威の攻撃者が使用していたと判明したツールに加え、脅威の攻撃者がさらに利用するためにホストしていたオープンソースのレッドチーム向けツールもいくつかあることも判明しました。
ピボット
同様の指紋を使用して、同様の脅威アクターに属する同様のインフラストラクチャを捜索しました。
最も興味深い点の1つは、両方のインフラストラクチャが、認可されたホスティング会社によってホストされていることです。 アエザグループLLC.
もう一つ興味深い点は、ロシア人の健康、フィットネス、健康支援に関連した、疑わしい Web アプリケーションが多数ホストされていることも発見したことです。
特定
脅威主体を記述する際に、アトリビューションは非常に重要な指標です。これには、戦術、手法、手順(TTP)、運用上のミス、類似のインフラストラクチャ成果物のローテーションと再利用、アトリビューションにつながる可能性のある運用上のミスなど、様々な領域の分析と相関関係の分析が含まれます。
Noisy Bear の継続的な追跡において、ツール内に存在する言語、認可された Web ホスティング サービスの使用、以前に同様の中央アジア諸国を標的としたロシアの脅威主体に関連する同様の行動アーティファクトなど、多くのアーティファクトが見つかりました。そのため、脅威アクターはロシア出身である可能性があると考えています。
結論
NoisyBearと呼ばれる脅威主体が、PowerShellやMetasploitなどのオープンソースのエクスプロイト後ツールに大きく依存しながら、企業固有のルアーを使用してカザフスタンのエネルギー部門を標的にしており、認可されたウェブホスティングプロバイダーでそれらをホストしていることが分かりました。また、この脅威主体は2025年XNUMX月から活動していたと結論付けることができます。
SEQRITE保護
TBD
IOC
| ファイルタイプ | SHA-256 | |
| Outlook | 5168a1e22ee969db7cea0d3e9eb64db4a0c648eee43da8bacf4c7126f58f0386 | |
| ZIP | 021b3d53fe113d014a9700488e31a6fb5e16cb02227de5309f6f93affa4515a6 | |
| ZIP | f5e7dc5149c453b98d05b73cad7ac1c42b381f72b6f7203546c789f4e750eb26 | |
| LNK | a40e7eb0cb176d2278c4ab02c4657f9034573ac83cee4cde38096028f243119c | |
| LNK | 26f009351f4c645ad4df3c1708f74ae2e5f8d22f3b0bbb4568347a2a72651bee | |
| バッチスクリプト | d48aeb6afcc5a3834b3e4ca9e0672b61f9d945dd41046c9aaf782382a6044f97 | |
| バッチスクリプト | 1eecfc1c607be3891e955846c7da70b0109db9f9fdf01de45916d3727bff96e0 | |
| PowerShellの | da98b0cbcd784879ba38503946898d747ade08ace1d4f38d0fb966703e078bbf | |
| PowerShellの | 6d6006eb2baa75712bfe867bf5e4f09288a7d860a4623a4176338993b9ddfb4b | |
| PowerShellの | fb0f7c35a58a02473f26aabea4f682e2e483db84b606db2eca36aa6c7e7d9cf8 | |
| DLL | 1bfe65acbb9e509f80efcfe04b23daf31381e8b95a98112b81c9a080bdd65a2d | |
| ドメイン/IP | ||
| 77 [。] 239 [。] 125 [。] 41 | ||
| ウェルフィットプラン[.]ru | ||
| 178 [。] 159 [。] 94 [。] 8 | ||
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| 偵察 | T1589.002 | 被害者の身元情報を収集する: 電子メールアドレス |
| 初期アクセス | T1204.002
T1078.002 |
ユーザーの実行:悪意のあるファイル 有効なアカウント:ドメインアカウント |
| 実行 | T1059.001
T1059.00 |
コマンドおよびスクリプト インタープリター: PowerShell |
| 防衛回避 | T1562
T1027.007 T1027.013 T1055.003 T1620 T1218.011 |
防御を弱める
動的API解決 暗号化/エンコードされたファイル スレッド実行ハイジャック リフレクションコードの読み込み システム バイナリ プロキシの実行: Rundll32 |
| コマンドおよび制御 | T1105 | 入力ツール転送 |
| exfiltration | T1567.002 | クラウドストレージへの流出 |
フッターの注記:
明確化
一部のサイバーセキュリティメディアは、Seqriteの調査結果を次のように表現した。 「NoisyBearは5月にKazMunayGasの財務担当者のメールボックスを侵害し、フィッシングメールを送信するために使用しました。」 報道機関の1社はコメントを求めて当社に連絡を取ったと主張しましたが、当社はそのような要請を受け取っていません。
Seqriteの立場
上記の元のブログで詳しく説明したように、私たちの調査では、 「メッセージは主に社内人事コミュニケーションのように見えるように作成されていました。」 これは、メールボックスの侵害によるものではなく、なりすましメールである可能性が高いことを示しています。公開マルウェアリポジトリのサンプルから得られた調査結果によると、メール、取扱説明書、ペイロードのコメント全体で一貫してロシア語が使用されていることが示されました。また、このキャンペーンに関連するC&Cインフラは、サイバー犯罪活動を可能にしたとして2025年XNUMX月に米国から制裁を受けたAeza Group LLCによってホストされていたことも確認されました。
テストIDとレッドチームツールは、シミュレーション演習だけでなく、現実世界のサイバー作戦においても、よく知られた攻撃者によって広く使用されていることに留意することが重要です。今回のケースでは、特定された指標はKMGの内部フィッシング演習の一環として生成されたものであり、外部の脅威グループによって生成されたものではないことを承知しています。私たちは引き続き、この活動を「 バレルファイア作戦.
