目次:
- 導入:
- 感染チェーン:
- 対象となるセクター:
- キャンペーンに関する初期調査結果:
- デコイの分析:
- テクニカル分析:
- ステージ 1: Windows ショートカット ファイル (.LNK) の分析。
- ステージ 2: バッチ ファイルの分析。
- ステージ 3: Covert RAT の詳細分析。
- まとめ:
- Seqrite カバレッジ:
- IOC
- MITER ATT&CK
導入:
Seqrite Labsは、アルゼンチンの司法部門を標的とした、世界的に活発なスピアフィッシング攻撃キャンペーンを特定・解明しました。この攻撃キャンペーンは、多段階の感染チェーンを用いてステルス性の高いリモートアクセス型トロイの木馬(RAT)を展開しており、高度な運用技術が実証されています。このスピアフィッシング攻撃キャンペーンは、予防拘禁審査に関するアルゼンチン連邦裁判所の正当な判決を悪用し、Rustベースのリモートアクセス型トロイの木馬を拡散させています。
感染チェーン:
対象セクター:
このキャンペーンは主にアルゼンチンの司法部門を標的としており、法律専門家、司法関連政府機関、学術機関、そして法的支援団体にまで及んでいます。このキャンペーンでは、非常に真正な司法関連のおとり文書を利用して裁判所の通信に対する信頼を悪用し、秘密裏にリモートアクセス型トロイの木馬を配信することで、機密性の高い法務および組織データへの長期的なアクセスを可能にしています。
南米(主な焦点):アルゼンチン
司法機関、法律専門家、司法関連政府機関
理由: おとり文書はアルゼンチン連邦裁判所を参照し、地域特有の法律用語を使用しており、アルゼンチン国内を標的にしていることを示しています。
キャンペーンに関する初期調査結果:
詳細な分析に基づき、私たちはこの活動を、信頼できるプラットフォーム、高度な分析回避技術、そして秘密裏に Rust ベースのリモート アクセス型トロイの木馬 (RAT) を活用して司法部門の環境内で永続的なアクセスを確立する、高度に標的を絞った多段階の侵入キャンペーンであると評価しています。
このキャンペーンは、標的型スピアフィッシングメール(ZIPアーカイブを含む)を介して配信されます。アーカイブには、武器化されたLNKファイル、BATベースのローダースクリプト、そしておとりとして使用される、一見合法的な司法文書のように見えるPDFファイルが含まれています。ユーザーがLNKファイルにアクセスすると、実行チェーンが開始され、おとり文書が被害者の画面に表示されます。これにより、最終的なペイロードがステルス的に展開されます。
Zip: D:\auto_black_abuse\resources\unzipped\20251215_141941_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip
- LNK: info/juicio-grunt-posting.pdf.lnk
- BAT: info/health-check.bat
- デコイ/PDF: info/notas.pdf
デコイの分析:
このキャンペーンで使用されたおとり文書は、正式な法的スペイン語で書かれた、一見正当なアルゼンチン連邦裁判所の決議文です。この文書は、Poder Judicial de la Nación(国家司法裁判所)を出典としており、実在の司法機関(Tribunal Oral en lo Criminal y Correccional N° de la Capital Federal)に言及しており、事件番号、裁判所の署名、手続き上の用語も完備しています。この文書は、予防拘禁の司法審査について議論し、医学的評価、法的根拠、そしてアルゼンチン刑事訴訟法の特定の条項を引用して、被告人に条件付き釈放(excarcelación)を認めています。その構成、用語、書式は本物の裁判所の判決と酷似しており、法曹関係者や司法関係者の間での信頼性を大幅に高めています。
このおとり文書は、司法機関のコミュニケーションにおける信頼を悪用することを目的としたソーシャルエンジニアリングの手法です。マルウェア配信チェーンを、拘留審査や裁判所の決議といった日常的な法的ワークフローに沿った文書の背後に埋め込むことで、攻撃者はユーザーによるインタラクションの可能性を高めつつ、疑念を最小限に抑えています。この文書が司法関係者、法律専門家、そして関連機関に関連していることは、便宜的な拡散ではなく、意図的な特定分野への標的型攻撃であることを強く示唆しています。権威ある法的おとり文書と、秘密裏に実行されるチェーンの組み合わせは、司法機関の環境において、ステルス性の高い初期アクセスと長期的な持続性を実現するための、綿密な取り組みを示唆しています。
テクニカル分析:
ダウンロードされたZIPアーカイブ(D:\auto_black_abuse\resources\unzipped\20251215_141941_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip)を分析しました。このアーカイブには、悪意のあるLNKファイル(info/juicio-grunt-posting.pdf.lnk)、BATベースのローダースクリプト(info/health-check.bat)、そして司法をテーマにしたPDF形式のおとり文書が含まれていました。このアーカイブは、キャンペーンの多段階実行チェーンにおける最初の配信パッケージとして機能しました。
ステージ 1: Windows ショートカット ファイル (.LNK) の分析 – info/juicio-grunt-posting.pdf.lnk:
分析中に、上記の名前の LNK ファイルの内容を抽出しましたが、そこには以下に示すような非常に単純なコードが含まれていました。
| Windows System32 Windows PowerShell powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe grunt-pc Windows System32 UWindowsPowerShell powershell.exe *C:\Windows\System32\WindowsPowerShell\v1.0(-ep bypass -w hidden -f health-check.bat%E:\repos\C2R2-v2\dropper\pdf_icon.ico |
このLNKファイルは、システムディレクトリからPowerShellを起動することで、バッチスクリプトを密かに実行するために使用されます。PowerShellの実行ポリシーを回避し、ユーザーによる検出を回避するために隠しモードで実行されます。PDFアイコンが含まれていることから、このショートカットは正規のファイルに偽装されており、ユーザーを欺いてペイロードを密かに実行しようとする試みであることが示唆されます。
ステージ2: BATファイルの分析 – info/health-check.bat:
バッチ ファイルは、GitHub でホストされている URL への接続を確立し、第 2 段階のペイロードを取得します。これは、リモート アクセス型トロイの木馬 (RAT) であると思われるため、多段階のマルウェア配信メカニズムが示唆されます。
このPowerShellコマンドは、実行ポリシーをバイパスした隠しモードでPowerShellを起動することで、GitHubリポジトリからペイロードをサイレントにダウンロードして実行します。これにより、ユーザーの可視性とセキュリティ制御を回避します。WebClientオブジェクトを作成し、正規のように見えるUser-Agent文字列を割り当てることで、通常のブラウザトラフィックに紛れ込み、検出メカニズムを回避します。
このコマンドは、GitHubからhealth-check.exeというファイルを取得し、Microsoft Edgeのユーザーデータディレクトリ内にmsedge_proxy.exeという名前で保存します。信頼できるファイル名と場所を使用することで、正当なファイルであるように見せかけます。最後に、ダウンロードしたバイナリをStart-Processコマンドで実行し、ペイロードをトリガーすることで、第2段階のマルウェア実行の可能性を示唆します。
EXEファイルは、複数のコマンドラインプロセスを起動して特定のWindowsレジストリキーを照会することで、環境と仮想化の検出動作を示します。VMware、VirtualBox、Hyper-Vなどの一般的な仮想化およびサンドボックスプラットフォームに関連するアーティファクトをチェックするため、それらのツールやサービスに関連付けられたレジストリパスを照会します。このアクティビティは、実行ファイルが仮想化環境内または分析環境内で実行されているかどうかを判断しようとしていることを示しています。
ステージ3: RAT – msedge_proxy.exe の詳細分析:
分析の結果、msedge_proxy.exe は広範な VM 対策、サンドボックス対策、デバッグ対策のチェックを実行し、分析アーティファクトが検出されると直ちに実行を終了することが判明しました。
ホスト システム情報を収集し、IPv4/IPv6 フォールバックを備えた回復力のある C2 接続を確立し、永続性、ファイル転送、収集、暗号化、および権限昇格をサポートするモジュール コマンド セットをアドバタイズします。
コマンドは Base64 でエンコードされ、動的に実行され (DLL ベースのランサムウェアおよびスティーラー モジュールを含む)、永続的なインストールとクリーンな削除のための完全なライフサイクル サポートを備えています。
以下は msedge_proxy.exe の詳細な分析です。
- WMIC メーカーチェック #1
関数は次のように始まります:
WMICコンピュータシステムメーカーの取得
出力をキャプチャし、それを小文字に変換し、仮想化ベンダーの文字列のセットと比較します。
- ヴイエムウェア
- のvirtualbox
- qemu
- マイクロソフト株式会社(Hyper-V)
- ゼン
- 類似
- 仮想環境に属するレジストリパス
出力が一致する場合 → マルウェアは直ちに終了します。
- 大規模な部分文字列一致: VM / サンドボックスインジケーター
次の内容を含む非常に大きな連結文字列を読み込みます。
レジストリキー:
HKLM\SOFTWARE\VMware, Inc.\VMware ツール
HKLM\SYSTEM\ControlSet001\Services\vmmouse
HKLM\SYSTEM\ControlSet001\Services\vmhgfs
HKLM\SOFTWARE\Oracle\VirtualBoxゲスト追加機能
HKLM\ハードウェア\ACPI\DSDT\VBOX__
HKCU\ソフトウェア\ワイン
VM/分析ファイル:
C:\windows\System32\Drivers\Vmmouse.sys
C:\windows\System32\Drivers\vmhgfs.sys
C:\windows\System32\Drivers\VBoxMouse.sys
C:\windows\System32\Drivers\VBoxGuest.sys
C:\windows\System32\Drivers\VBoxSF.sys
C:\windows\System32\vboxdisp.dll
C:\windows\System32\vboxhook.dll
C:\windows\System32\vboxogl*.dll
サンドボックス ディレクトリ:
C:\分析
C:\サンドボックス
C:\sample.exe
C:\マルウェア.exe
VM MAC プレフィックス:
00:05:69 (VMware)
00:0c:29 (VMware)
00:1c:14 (VMware)
00:50:56 (VMware)
08:00:27 (バーチャルボックス)
52:54:00 (QEMU/KVM)
00:15:5d (ハイパーV)
分析ツール:
procmon.exe
procexp.exe
ワイヤーシャーク
フィドラー.exe
ollydbg.exe
ida.exe
ida64.exe
x64dbg.exe
x32dbg.exe
windbg.exe
これらすべてを反復処理します: 部分文字列が存在する → プログラムを終了
- タスクリストスキャン: 分析プロセスの検出
実行内容:
タスクリスト
次に、疑わしいプロセスを探します。
- 実行ファイル
- vmusrvc.exe
- vboxtray.exe
- vmwaretray.exe
- vmwareuser.exe
- vmacthlp.exe
- サンドボックス化されたcomlaunch.exe
- サンドボックスエックス.exe
- procmon.exe
- procexp.exe
- ワイヤーシャーク
- フィドラー.exe
- ollydbg.exe
- ida.exe / ida64.exe
- x64dbg.exe / x32dbg.exe
- windbg.exe
見つかった場合→終了
- ファイルの存在チェック
その後、約 128 個のファイル パスをチェックします。
Path::exists(path[i]) が存在する場合:
出口()
これらは、VM ドライバー ファイル、デバッグ ツール、サンプル フォルダー名などです。
このループは、サンドボックス対策/分析対策のためのシンプルなパスチェックを実行します。ハードコードされたパスのリストを16バイトずつ反復処理し、各パスに対してstd::path::Path::exists()を呼び出します。これらのパスのいずれか(通常は仮想マシン、分析ツール、またはサンドボックスに関連付けられたディレクトリまたはファイル)が存在する場合、条件が真となり、マルウェアは直ちにプロセスを終了します。
アンチデバッグ: PEB チェック:
このコードは複数のアンチデバッグチェックを実行します。まず、IsDebuggerPresentとPEBのBeingDebuggedフラグを使用してデバッガを検出し、どちらかが真であれば直ちに終了します。次に、短時間のスリープの前後の時間を測定することで、タイミングベースのアンチアナライザテストを実行し、ブレークポイントの遅延やVMの速度低下を検出します。最後に、QueryPerformanceFrequencyを使用してシステムの高解像度パフォーマンスカウンターを検証します。エミュレータやインストルメント環境などでタイマーが異常な動作をした場合、マルウェアはエラーをトリガーして終了します。
- システム情報の収集:
この機能は、マルウェアのシステム情報収集機能です。
次の値を構築します:
- hostname
- ユーザ名
- OS名
- 権限レベル(管理者/ユーザー)
- フィールドを決定した後、次を実行します。
- ホスト名 → PowerShell WMIクエリ
- ユーザー名 → echo %USERNAME% または WMI フォールバック
- OS → WMI ProductName またはレジストリフォールバック
- 権限 → ネットセッションテクニック
(ネットセッション >nul 2>&1 && echo Admin || echo User)
- C2C接続:
Anti-Vm がチェックした後、マルウェアはネットワーク接続ルーチンに接続しようとします。
このルーチンはまず、C2 アドレスを IP:ポート (例: 181.231.253.69:4444) の形式で標準 IPv4 エンドポイントとして解析しようとします。
この IPv4 解析が、無効な数値オクテット、区切り文字の欠落、または形式が正しくないことが原因で失敗した場合は、[xxxx:xxxx:xxxx::1]:port などの括弧で囲まれた形式をサポートする IPv6 解析ルーチンにフォールバックし、アドレス ブロックとポートを正しく分離します。
IPv4 と IPv6 の両方の解析が失敗すると、マルウェアは最終的にハードコードされた埋め込みコマンド アンド コントロール (C2) 文字列をデフォルトに設定し、常に接続できるフォールバック サーバーを確保します。
181.231.253.69:4444__PERSIST__:PERSIST_REMOVE____BEACON:DOWNLOAD:UPLOAD|HARVEST” “ENCRYPT:DECRYPT:__ELEVATE__\n” “<>\n”;
これはデフォルトのフォールバック コマンド アンド コントロール サーバーです。
解析が失敗すると、マルウェアはこの文字列に戻ります。
初期C2ハンドシェイクを実行する
接続後、マルウェアはサーバーに対して「自身を識別」する必要があります。
これには一般的に次のものが含まれます。
BEACONメッセージの送信
通常、次のものが含まれます:
| フィールド | 目的 |
| 被害者ID | 固有のホスト指紋 |
| プロセス名 | オペレーターがホストを識別するのに役立ちます |
| 特権レベル | システム / 管理者 / ユーザー |
| OSのバージョン | 互換性のため |
| アーキテクチャ | x86 / x64 |
| 現在の時刻 | スケジュール設定に使用 |
| 機能 | エージェントがサポートするもの |
コマンドセット:
| C2コマンド | 行動 |
| __持続__ | 永続性をインストールする(タスク スケジューラ、スタートアップなど) |
| __PERSIST_REMOVE__ | 永続性を削除する |
| __ビーコン__ | 再ビーコン/ハートビート |
| __ダウンロード__ | ファイルをダウンロード(C2 → 被害者) |
| __アップロード__ | ファイルをアップロード(被害者 → C2) |
| __収穫__ | データを盗む |
| __暗号化__ | ファイルを暗号化する |
| __復号__ | ファイルを復号化する |
| __ELEVATE__ | 権限昇格を試す |
これらは、マルウェアが C2 にアドバタイズする正確なコマンド識別子です。
これは、モジュール式のエクスプロイト後のバックドアと一致します。
__PERSIST_ コマンド (永続性と権限管理)
レジストリ実行 (ユーザー):
std::process::Command 経由で構築された reg add 引数を使用して、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下に値を追加します。値の名前は、SecurityHealthSystray、OneDriveSetup、AdobeAAMUpdater、GoogleChromeAutoLaunch、MicrosoftEdgeAutoLaunch、Teams Machine Installer など、ランダムに生成された「正当に見える」名前です。エラー文字列には「Error en reg add」(スペイン語)が含まれます。
スケジュールされたタスク:
schtasks 経由で /TN、/TR、/DELAY0001:00、オプションで /RL HIGHEST を指定してタスクを作成します。バイナリは引数ベクターを構築し、Command::output を発行します。出力には「Scheduled Tasks limpiadas」などのクリーンアップメッセージが表示されます。
| PERSIST_REMOVE (永続性の削除): |
この Rust で書かれたマルウェアは、複数の永続化メカニズム (レジストリ実行、スケジュールされたタスク、WMI サブスクリプション) を実装した後、完全なクリーンアップ機能も備えています。
これは、C2 がコマンドを送信すると実行されます。
PERSIST_REMOVE____BEACON:DOWNLOAD:UPLOAD|HARVEST____ENCRYPT:DECRYPT:ELEVATE <>
レジストリのクリーンアップ: 以前に作成されたすべての実行キーのエントリを削除します。
スケジュールされたタスクの削除: 永続性に関連付けられたすべてのタスクを削除します。
BEACON(再ビーコン/ハートビート):
BEACON コマンドは、感染したホストと攻撃者のコマンド アンド コントロール (C2) 間の通信を維持する上で中心的な役割を果たします。
以下のコード スニペットは、コマンドを処理するマルウェアのロジックを表しています。
__ビーコン__:__ダウンロード__:__アップロード__|__ハーベスト____暗号化__:__復号化__:__昇格__
< >
このコマンドはインプラントに次のことを指示します。
ハートビート/ビーコンをサーバーに送り返す
デバイス情報を含める
オプションでさらなるコマンドを準備する
生き続け、静かに粘り強く続ける
_ダウンロード_:
_DOWNLOAD__ コマンドは、C2サーバーからファイルを取得するものではありません。これはファイル窃取のメカニズムであり、被害者からファイルを盗み出し、攻撃者に送信するものです。この命名トリックは、RATやスティーラーでよく使用されます。
これが最も重要な段階です。
マルウェアは、次の内容を含むフォーマットされたメッセージを作成します。
ファイル名
ファイルサイズ
Base64データ
フォーマット構造: [ ファイル名 | サイズ | base64 データ ]
アップロード:
このマルウェアは、以下のコマンドによって起動される、フル機能のファイルアップロード モジュールも提供します。
__アップロード__|__ハーベスト____暗号化__:__復号化__:__昇格__
< >
これにより、攻撃者は被害者のマシンに任意のファイルを送信できるようになります。
この機能は、次の場合に必要です。
追加のペイロードをドロップする
インプラントの更新
ランサムウェアモジュールの展開
サイドローディングDLL
フォローアップ段階の実行
収穫:
コード ブロックは、サーバーが以下を送信するとトリガーされます。
__HARVEST____ENCRYPT__:__DECRYPT__:__ELEVATE__
< >
このコマンドは、ディスクに暗号化されたファイルとして保存されている休止状態の資格情報収集モジュールをアクティブ化します。
マルウェアは、被害者に次の 2 つのファイルがすでに存在していることを想定しています。
stealer.enc → 暗号化されたDLL
stealer.key → XORキー
どちらかが欠落している場合、マルウェアは次のように応答します。
__エラー__:steeler.enc に暗号化がありません。エル・セルビドール・デベ・スビルロ・プリメロ。
__エラー__: steamer.key に暗号化がありません。エル・セルビドール・デベ・スビルロ・プリメロ。
ENCRYPT + DECRYPT コマンド:
マルウェアは、__ENCRYPT__:__DECRYPT__:__ELEVATE__ や __DECRYPT__:__ELEVATE__ などの C2 コマンドを受信し、ターゲット フォルダー + モードを解析します。
ransomware.enc (暗号化された DLL) と ransomware.Key をチェックし、提供されたキーを使用して DLL を復号化します。
DLL を動的にロードし、コマンドに基づいて encrypt_directory または decrypt_directory のいずれかを呼び出します。
ランサムウェア エンジンは、指定されたパス内のすべてのファイルを処理し、テキスト結果 (OK、エラー、またはエンコードされたデータ) を返します。
__ELEVATE__ コマンド:
マルウェアの __ELEVATE__ コマンド (権限昇格モジュール) の完全な実装。
PowerShell 昇格スクリプトを生成し、それをディスクに書き込み、RunAs で実行し、UAC 昇格を待機し、スクリプトを削除し、C2 にステータス メッセージを返します。
7.コマンドの受信とデコード:
コマンドは BASE64 でエンコードされて到着し、次のように処理されます。
agent::base64_decode::_$u7b$$u7b$closure$u7d$$u7d$::h968157c94086d467
デコード手順では、一度に 4 バイトのシーケンスをデコードし、元のメッセージを再構築します。
4バイトの入力に対して3バイトの出力
パディング「=」ケースを処理します
デコードされたバイトをベクトル構造にプッシュする
これは、C2 コマンドが常に base64 でエンコードされていることを証明します。
まとめ:
この攻撃キャンペーンを「Operation Covert Access」と名付けたのは、単一のマルウェア ファミリやツールに依存するのではなく、司法部門の環境内でのステルス的な初期アクセスと継続的なリモート制御に重点を置いていることを反映しています。
Operation Covert Accessは、司法を題材にしたスピアフィッシング、武器化されたLNKファイル、そしてステルス性の高いリモートアクセス型トロイの木馬(RAT)を組み合わせることで、信頼度の高い組織環境内で長期的なアクセスを確立する方法を実証しています。このキャンペーンは、ショートカットベースの実行が依然として有効であることを浮き彫りにし、ソーシャルエンジニアリングを駆使した侵入チェーンに対する可視性と防御制御の強化の必要性を改めて浮き彫りにしています。
Seqrite カバレッジ:
- トロイの木馬.50322.SL
- トロイの木馬.50321.SL
- カバートラッチ
IOC:
| ハッシュ | 名前 |
| dc802b8c117a48520a01c98c6c9587b5 | info/juicio-grunt-posting.pdf.lnk |
| 45f2a677b3bf994a8f771e611bb29f4f |
D:\auto_black_abuse\resources\unzipped\20251215_140518_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip |
| 02f85c386f67fac09629ebe5684f7fa0 | 情報/ヘルスチェック.bat |
| 976b6fce10456f0be6409ff724d7933b | \msedge_proxy.exe |
| 233a9dbcfe4ae348c0c7f4c2defd1ea5 | 情報/notas.pdf |
| C2 |
| 181.231.253.69:4444 |
マイター攻撃&CK:
| ステージ | 技名 | テクニックID |
| 初期アクセス | スピアフィッシング添付ファイル | T1566.001 |
| ユーザーの実行:悪意のあるファイル | T1204.002 | |
| メールでアーカイブ | T1566.001 | |
| 実行 | Windows コマンドシェル | T1059.003 |
| PowerShellの | T1059.001 | |
| コマンドラインインターフェイス | T1059 | |
| ネイティブAPI | T1106 | |
| スケジュールされたタスクの実行 | T1053.005 | |
| 防衛回避 | マスカレード(PDF形式のLNK) | T1036.004 |
| 偽装(正当な名前または場所) | T1036.005 | |
| 隠しウィンドウ | T1564.003 | |
| 難読化/エンコードされたコマンド(Base64) | T1027 | |
| ファイルまたは情報の難読化解除/デコード | T1140 | |
| 実行ポリシーバイパス | T1562.001 | |
| レジストリを変更する | T1112 | |
| 仮想化 / サンドボックス回避 | T1497 | |
| 仮想化/サンドボックス回避: システムチェック | T1497.001 | |
| 仮想化/サンドボックス回避: ユーザーアクティビティチェック | T1497.002 | |
| デバッガ回避 | T1622 | |
| ホスト上のインジケーターの削除 | T1070 | |
| プーケットの魅力 | システム情報の発見 | T1082 |
| アカウントの発見 | T1087 | |
| プロセスディスカバリー | T1057 | |
| レジストリ検出 | T1012 | |
| ファイルとディレクトリの検出 | T1083 | |
| ソフトウェアディスカバリー | T1518 | |
| 権限グループの検出 | T1069 | |
| クレデンシャルアクセス | パスワード ストアからの認証情報 | T1555 |
| OS 資格情報のダンプ | T1003 | |
| 固執 | レジストリ実行キー / スタートアップ フォルダー | T1547.001 |
| スケジュールされたタスク/ジョブ | T1053.005 | |
| ブートまたはログオン時の自動実行 | T1547 | |
| WMIイベントサブスクリプション | T1546.003 | |
| コマンドおよび制御 | アプリケーション層プロトコル | T1071 |
| アプリケーション層プロトコル:Webプロトコル | T1071.001 | |
| 暗号化されたチャネル | T1573 | |
| 暗号化されたチャネル:対称暗号化 | T1573.001 | |
| 難読化/暗号化されたチャネル | T1132 | |
| フォールバックチャネル | T1008 | |
| 非標準ポート | T1571 | |
| 動的解決(IPv4/IPv6解析) | T1568 | |
| 入力ツール転送 | T1105 | |
| 収集 | ローカルシステムからのデータ | T1005 |
| 収集したデータのアーカイブ | T1560 | |
| 入力キャプチャ | T1056 | |
| スクリーンキャプチャ | T1113 | |
| exfiltration | C2チャネルを介した浸透 | T1041 |
| 暗号化されたチャネルを介した情報漏洩 | T1041 | |
| 影響 | インパクトのあるデータ暗号化 | T1486 |
| システム回復の抑制 | T1490 | |
| ラテラルムーブメント | リモートサービス | T1021 |
著者:
ディキシット・パンチャル
ソウメン・ビルマ
カルティック・ジヴァニ
