Contents
- イントロダクション
- 初期の調査結果
- 感染連鎖。
- テクニカル分析
- ステージ 0 – 悪意のある ZIP ファイル。
- ステージ 1 – 悪意のある VELETRIX インプラント。
- ステージ 2 – 悪意のある V-Shell インプラント。
- 狩猟とインフラ。
- 特定
- 結論
- Seqrite 保護。
- IOC
- MITRE ATT&CK。
著者: Subhajeet Singha および Sathwik Ram Prakki
イントロダクション
Seqrite Labs APTチームは最近、中国の通信業界を標的としたキャンペーンを発見しました。このキャンペーンは、中国の大手通信会社の一つであるChina Mobileの子会社であるChina Mobile Tietong Co., Ltd.を標的としています。このキャンペーンに関与するマルウェアエコシステム全体は、VELETRIXマルウェアと、非常に有名な攻撃者シミュレーションツールであるVShellマルウェアに基づいています。VShellは、中国の脅威アクターが欧米の様々な企業を標的にするために広く利用されていることでも知られています。
このブログでは、分析中に発見したキャンペーンの高度な技術について考察します。キャンペーンの各段階を検証し、感染初期段階から使用されたインプラントまでを詳細に分析し、最後にキャンペーン全体を概観します。
初期の調査結果
最近、13月XNUMX日に私たちのチームは、次のようなさまざまなソースで表面化した悪質なZIPファイルを発見しました。 VirusTotalのZIPファイルが感染源として利用され、ZIPフォルダ内に複数のEXEファイルとDLLファイルが含まれていました。同じファイルは他のマルウェアでも発見されました。 脅威研究者 まさにその日。
このZIPファイルには、「2025 China Mobile Tietong Co., Ltd. 社内研修プログラムがまもなく開始されます。お早めにご登録ください。exe」という興味深い実行ファイルが含まれており、drstat.dllなど、多数の興味深いDLLがロードされます。そこで、これらのファイル群の動作を調査することにしました。
感染連鎖
テクニカル分析
分析を 3 つの異なる部分に分けて、まず悪意のある ZIP 添付ファイルを調べ、次に悪意のある Veletrix インプラントを調べ、最後に VShell マルウェアの簡単な分析を調べます。
ステージ 0 – 悪意のある ZIP ファイル。
当初、私たちは「附件.zip」(別名attachment.zip)という悪意のあるZIPファイルを発見しました。ZIPファイルの内容を調べたところ、
興味深い EXE ファイル、DLL ファイル、XML ファイルのセットが見つかりました。そのほとんどは合法的に Microsoft 署名されたバイナリでしたが、一部には Shenzhen Thunder Networking Technologies Ltd によるコード署名証明書がありました。また、WonderShare RepairIt ソフトウェアに関連付けられることが多い drstat.dll という興味深い DLL ファイルもありました。
Wondershare Repairit の公式 Web サイトで確認したところ、drstat.exe という実行ファイルが 3 つの異なる名前で 3 回名前変更されパッケージ化されていることが確認できます。
- 中国移動有限公司の2025年度社内研修プログラムがまもなく開始されます。お早めにご登録ください。.
- アンインストール。
- 登録リンク.
次に、Wondershare が実際のバイナリに署名しているかどうか、さらに確認することにしました。実際のバイナリは、Wondershare の Web サイトから正式に入手できます。
最後に、脅威の主体が同じファイルを使用していたことが確認されました。このファイルは以下からダウンロードできます。 Wondershareの公式サイトWondershare のこのコード署名操作を調べ、この悪意のあるものを事後分析した結果、脅威の攻撃者がターゲットに対して DLL サイドローディングを使用して、VELETRIX と名付けるインプラントを起動したことが確認できました。
次のセクションに進む前に、この圧縮された実行ファイルに「Shenzhen Thunder Networking Technologies Ltd」によってパックされた他のコード署名証明書が、さまざまなレポートや議論の中で、中国起源の脅威エンティティによって悪用された悪意のある実行ファイルと頻繁に関連付けられていることも確認します。
ステージ 1 – 悪意のある VELETRIX インプラント。
まず、このインプラントを調査した結果、64ビットバイナリであり、いくつかの興味深いエクスポート関数が含まれているという基本的な情報が得られました。次に、この悪意のあるインプラントのコード分析に焦点を当てます。
すべてのエクスポートを調べたところ、その中で、dr_data_stop に興味深い悪意のあるコードが含まれていることがわかりました。
当初、インプラントはちょっとした分析回避トリックから始まり、 スリープ & ビープ Windows APIは基本的にdo-whileループ内で実行され、基本的にdo-whileループ内で実行されます。 自動サンドボックス分析を回避するために、実行を約10秒間遅らせ、ビープ音を鳴らします。ループは 1 秒間スリープし、ビープ音が 10 回鳴ります。このメカニズム全体により、アナリストの分析が遅れたり、自動化されたサンドボックスが混乱したりします。
この技術はシステムレベルでNtDelayExecutionを活用します – Beepは内部的にNtDelayExecutionを呼び出します。これは、遅延時間をミリ秒単位で指定する「DelayInterval」パラメータを受け取ります。実行されると、NtDelayExecutionは呼び出しスレッドを一時停止します。これにより、サンドボックスのタイムアウトやデバッガの制御喪失が発生し、 それほど有害ではないが効果的なサンドボックス対策技術Beep API は、内部の NtDelayExecution 呼び出しを通じて実行遅延を作成すると同時に、分析環境でさまざまな動作をトリガーしたり、アクティブなコード実行を研究者に警告したりするオーディオ アーティファクトを生成するという 2 つの目的を備えているため、特に優れています。
次に、kernel32.dllの読み込みを進め、DLLがロードされたら、 ライブラリAをロードするDLLがロードされると、さらに GetProcAddress VirtualAllocExNuma、VirtualProtect、EnumCalendarInfo といった興味深い API セットを解決するために使用されます。
同様に、ADVAPI32.dll がロードされ、DLL がロードされると、SystemFunction036、HeapAlloc、および HeapFree という同じ手法を使用して解決されます。
最後に、ntdll.dll がロードされ、RtlIpV4StringToAddressA と呼ばれる興味深い Windows API が解決されます。
次に、この悪意のあるローダーは、IPFuscation と呼ばれる手法を使用します。これは基本的に、悪意のあるシェルコードを IPV4 アドレスのリストに変換します。
さらに、whileループと RtlIpv4StringToAddressA API は難読化されたシェルコードをデコードするために使用されます。これは、ASCII IP 文字列をバイナリに変換することによって行われ、バイナリはさらにシェルコードとして実行されます。
シェルコードがバイナリ形式で抽出されると、VirtualAllocExNuma API を使用して、現在のプロセスに読み取りと書き込みの権限のみを持つ新しいメモリ ブロックを割り当てます。
ここで、メモリが割り当てられると、さらに単純な XOR 演算を使用して、Windows API を介して IpFuscation 手法から難読化解除されたエンコードされた BLOB が、XOR 演算によってさらにデコードされ、割り当てられたメモリにコピーされます。
次に、VirtualProtect を使用して、割り当てられたメモリのメモリ保護を Execute-Read-Write に変更します。
そして最後に、コールバック関数を介してシェルコードを実行するという少し革新的なテクニックを使用します。 列挙カレンダー情報A シェルコードを実行するためのAPI。この手法は、EnumCalendarInfoAがコールバック関数のポインタをパラメータとして受け取るという性質を利用しています。マルウェアはシェルコードのアドレスをこのコールバックとして渡すため、APIが正当なカレンダー列挙関数だと勘違いして呼び出しを試みているときに、Windowsは意図せず悪意のあるコードを実行してしまうのです。しかし、今回のケースでは、基本的にVShell OSTフレームワークのWindowsインプラントであるシェルコードが実行されています。
最後に、コールバックメカニズムを介してコードインジェクションを実行するVeletrixインプラントについて結論付けることができます。次のセクションでは、よく知られているVshellインプラントとその仕組みについて詳しく見ていきます。
ステージ 2 – 悪意のある Vshell インプラント。
まあ、 Vシェルは、Golangで開発された、かなり有名なクロスプラットフォームOSTフレームワークです。当初は研究者によって開発されましたが、その後、さまざまなキャンペーンを追跡してきたさまざまな研究者による複数の研究ブログで言及されているように、不可解な形で削除されました。 UNC5174 および類似のものが、中国圏を起源とする脅威アクターによって使用されています。
前のセクションで述べたように、VELETRIXはこのWindowsインプラントをメモリにロードします。ファイル内を調べたところ、ドロップされた特定のインプラントはtcp_windows_amd64.dllという名前であることがわかりました。このフレームワークは十分に研究されているため、ここでは主要なアーティファクトとインプラントの基本的な概要のみを取り上げます。
インプラントを詳しく見てみると、接続、送信、受信といった、オペレータとのやり取りに使用される複数の機能があることがわかります。これらの機能はすべて、WinSockの複数のWindows APIの基盤コードを使用しています。 としょうかん。
さらに分析を進めた結果、コマンドアンドコントロールサーバーとインポート設定、つまりソルト(qwe123qwe)が明らかになりました。次のセクションでは、さらに詳細なハンティングとインフラストラクチャに関するアーティファクトについて見ていきます。
狩猟とインフラ。
以前のインプラントを調べてみると、興味深い遺物がいくつか見つかりました。
本調査で言及したキャンペーンで使用されたソルトを分析・抽出した結果、qwe44qweという全く同じソルトを使用したインプラントが合計123件見つかりました。また、Vshellはクロスプラットフォームツールであるため、署名付きおよび署名なしの複数のEXE、ELF、DLLも発見しました。
また、C2が米国、香港など複数の場所からのものを含むサンプルもいくつか見つかりました。また、同じ塩を使用した44個のインプラントのうち、いくつかのサンプルがAPTグループと相関関係にあることがわかりました。 アースラミア インド系組織を標的とした事例はごくわずかです。また、調査を進める中で、多くの類似のインプラントがUNC5174のキャンペーンと重複していることも判明しました。 スクリーンコネクト CVE-2024-1709 研究者らによって報告された。
さて、インフラの重複について見てみると、同様の指標が以下のクラスターに起因していることが判明した。 中国ネクサス国営企業 CVE-2025-31324 を悪用して SAP NetWeaver Visual Composer を標的とする脅威アクター。
また、同じインフラストラクチャ上で、Asset Lighthouse System(オープンソースの資産発見および偵察プラットフォーム)に関連するログインベースのウェブページがホストされていることも判明しました。 トップファント・コンピテンス・センター(TCC)これは主に、公開されているIP、ドメイン、ポート、Webサービスを特定することで、外部の攻撃対象領域をマッピングするために使用されます。そこで、これらのアーティファクトを活用してピボットすることにしたのですが、興味深い重複はほとんど見つかりませんでした。
ピボット後、ポート5003でASLを実行するなど、同様のポート構成を持つ複数の悪意のあるウェブサーバーが、Cobalt StrikeとSuperShellをホストしていたことを発見しました。これらは、 UNC5174 別名ウテウス また、同様のポート設定を持つ複数のウェブサーバーも発見しました。 アースラミア.
さて、最後に重要な点として、コマンド アンド コントロール サーバーが、ターゲットに対して使用される Cobalt Strike もホストしていることもわかりました。これは、この脅威エンティティが使用する 2 番目のエクスプロイト後のフレームワークになります。
帰属
インプラントの使用と重複するインフラパターンの分析を通じて、私たちは脅威アクターが ベレトリックス、比較的新しいローダーで、 Vシェル 記憶に残る。VShellは当初オープンソースプロジェクトとしてリリースされ、後に元の開発者によって削除されましたが、その後、中国と連携した脅威グループによって広く悪用されるようになりました。
さらに脅威ハンティングを進めると、次のような既知の活動と一致する同様の行動パターンが明らかになった。 UNC5174(子宮) の三脚と アースラミア研究者によって最近記録されたように、このアクターに関連する現在のインフラストラクチャには、次のようなツールが一貫して使用されていることが示されています。 スーパーシェル, コバルトストライク, Vシェル アセットライトハウスシステム—資産の発見と偵察のためのオープンソースプラットフォーム。これらのツールは、これまで中国を拠点とする様々なAPTクラスターに利用されていることが確認されており、実環境で活発に展開されていることが確認されています。
技術的およびインフラストラクチャ的な重複を考慮すると、この脅威アクターは、以下の脅威エンティティの一部であると高い確信を持って評価します。 China-Nexus クラスター。
結論。
このキャンペーンを慎重に調査した結果、Operation DRAGONCLONEと名付けた中国関連の脅威エンティティが、Wondershare Recoveritソフトウェアに対してDLLサイドローディング手法を使用し、VELETRIX DLLインプラントをロードしていることがわかりました。このDLLインプラントは、アンチサンドボックス、IPFuscation手法、コールバック手法などの興味深い手法を使用してVshellマルウェアを実行します。また、UNC5174およびEarth Lamiaと複数の重複があり、最近のキャンペーンは2025年XNUMX月からアクティブになっています。
Seqrite 保護。
- エージェントCiR
IOC
| SHA-256 | ファイル名 |
| 40450b4212481492d2213d109a0cd0f42de8e813de42d53360da7efac7249df4 | \付属品.zip |
| ac6e0ee1328cfb1b6ca0541e4dfe7ba6398ea79a300c4019253bd908ab6a3dc0 | drstat.dll |
| 645f9f81eb83e52bbbd0726e5bf418f8235dd81ba01b6a945f8d6a31bf406992 | drstat.exe |
| ba4f9b324809876f906f3cb9b90f8af2f97487167beead549a8cddfd9a7c2fdc | tcp_windows_amd64.dll |
| bb6ab67ddbb74e7afb82bb063744a91f3fecf5fd0f453a179c0776727f6870c7 | mscoree.dll |
| 2206cc6bd9d15cf898f175ab845b3deb4b8627102b74e1accefe7a3ff0017112 | tcp_windows_amd64.exe |
| a0f4ee6ea58a8896d2914176d2bfbdb9e16b700f52d2df1f77fe6ce663c1426a | memfd:a(削除済み) |
IP/ドメイン
| IP |
| 62.234.24.38 |
| 47.115.51.44 |
| 47.123.7.206 |
MITER ATT&CK
| 戦略 | テクニックID | 技名 | サブテクニックID | サブテクニック名 |
| 偵察 | T1595 | アクティブスキャン | T1595.002 | 脆弱性スキャン |
| 偵察 | T1588 | 能力を獲得する | T1588.002 | ツール |
| 初期アクセス | T1566 | フィッシング詐欺 | T1566.001 | スピアフィッシング添付ファイル |
| 実行 | T1204 | ユーザーの実行 | T1204.002 | 悪意のあるファイル。 |
| 固執 | ||||
| 防衛回避 | T1140 | ファイルまたは情報の難読化/デコード | ||
| 防衛回避 | T1574 | ハイジャック実行の流れ | T1574.001 | DLL |
| 防衛回避 | T1027 | 難読化ファイルまたは情報 | T1027.007 | 動的API解決 |
| 防衛回避 | T1027 | 難読化ファイルまたは情報 | T1027.013 | 暗号化/エンコードされたファイル |
| 防衛回避 | T1055 | プロセス射出 | ||
| 防衛回避 | T1497 | 仮想化/サンドボックス回避 | T1497.003 | 時間ベースの回避 |
| プーケットの魅力 | T1046 | ネットワークサービスディスカバリ |
