- イントロダクション
- タイムライン
- 主要ターゲット。
- 影響を受ける業界。
- 地理的焦点。
- 感染連鎖。
- 初期調査結果。
- テクニカル分析。
- キャンペーン – I
- LNK の方法。
- 悪意のある サイレントローダー
- 悪意のある ラプラス インプラント – TCP と TLS。
- 悪意のある.NETインプラント – サイレントスイーパー
- キャンペーン – II
- 悪意のある.NETインプラント – サイレントスイーパー
- VBScript。
- 悪意のある PowerShell スクリプト。
- キャンペーン – I
- 狩猟とインフラ。
- 特定
- 早期改善策。
- 結論
- SEQRITE 保護。
- IOC
- MITRE ATT&CK。
- 参考情報
著者: Subhajeet Singha、Priya Patel, サトウィック・ラム・プラッキ。
イントロダクション
Seqrite LabsのAPTチームが最初に命名法を割り当てた。 「サイレントリンクス 脅威グループへ。これに先立ち、またその後も、複数の研究者が初期のキャンペーンを特定し、このグループを様々な名前で呼んでいた。 ヨロトルーパー, スタージョン・フィッシャー, 騎兵ウェアウルフ, シャドウシルクなど。この命名規則に基づいてこれらのキャンペーンを最初に発見し追跡したため、私たちはこのグループを次のように呼び続けています。 サイレントリンクス 一貫性を維持し、複数の重複するエイリアスによって生じる混乱を避けるためです。
複数の調査ベンダーや弊社の報告によると、Silent Lynx は、スピアフィッシングをベースとした攻撃キャンペーンを組織化し、政府職員を標的とすることで広く知られています。彼らは、オープンソースプロジェクトから入手した複数のカスタムメイド、あるいは既製の攻撃ツールを活用し、主に中央アジアのシンクタンク、政府、ロシア政府、そして東南アジアの一部の国を標的としていました。
このブログでは、ステージャーの展開において緩慢な変更と、OPSECにおける小さなミスを繰り返しながらも、どのようにして同一グループを特定したのかを検証します。これらのミスが、偽のRARアーカイブを用いてアゼルバイジャンとロシアの関係を狙う複数の組織を標的としたキャンペーンの特定につながったのです。このグループはまた、悪意のある.NETインプラントを用いて中国と中央アジアの組織を標的としていました。このグループの唯一の目的は、性急なスパイ活動であり、多くのミスが今回の調査で複数の発見につながったと考えています。また、調査段階で発見された複数のキャンペーンとインプラントを支えるインフラストラクチャについても考察します。
さて、最後に、この研究の最終テーマである「道はドゥシャンベへと続く」。テーマはブログの後半で徐々に取り入れられ、テーマを選択した理由が説明されます。
タイムライン。
主要ターゲット。
サイレントリンクスは様々な国の複数のセクターを標的としており、本調査では、アスタナ、ドゥシャンベ、バクーといった事件と地理的に非常に密接な関係にあるセクターに焦点を当てます。6月初旬から9月にかけて追跡した最初のキャンペーンでは、 中国と中央アジアの政府 シンクタンクは サミットのテーマで開催された アスタナ 首都である カザフスタン9月中旬から10月にかけて、同じ脅威グループが、 キルギスに拠点を置く政府機関 ロシアのさまざまな組織を標的とするこの攻撃は、BI. Zone の脅威研究者によっても発見されました。
同様の痕跡をたどって、この脅威アクターが以下の組織も標的にしていたことが判明した。 アゼルバイジャンとロシアの外交、 サミットのテーマと、戦略的協力などの具体的なキーワードを組み合わせて、 ドゥシャンベ対象となる業種は以下のとおりです。
影響を受ける業界
- 政府のシンクタンクと外交官。
- 鉱業。
- 運輸・通信業界。
地理的焦点
- タジキスタン
- アゼルバイジャン
- ロシア
- China
- その他の中央アジア諸国(関連研究を参照) サイレントリンクスの発見)
感染連鎖
初期調査結果。
SEQRITE APTチームは、2024年11月からSilent Lynxを綿密に追跡してきました。当初、このグループはキルギスタン、トルクメニスタン、ウズベキスタンの複数の重要な組織を標的としており、国立銀行や鉄道プロジェクトなどの重要なセクターに関連するスパイ活動という唯一の動機を持っていることを発見しました。調査結果は、 ウイルス速報、2025年.
前述の通り、 VirusTotalの たとえば、PowerShell.exe バイナリを悪用する Base64 でエンコードされた PowerShell インプラントやローダーの使用に執着する傾向など、脅威グループを追跡するために使用する調査と重要なポイントについて説明します。
同様の重要な論理を使用して、私たちは9月に組織化されたと思われるキャンペーンを発見しました。 当初は6月に そしてサンプルは9月に私たちによって発見されました。
その後、同様のロジックを用いて、ステージャーの展開に若干の違いはあるものの、同様の手口で活動している別のキャンペーンを発見しました。このキャンペーンは10月に発見されたため、特定のテーマに基づいて10月中に再度組織化されたと考えられます。
さらに調査と方向転換を行った結果、これら 2 つのキャンペーンは、最終ステージャー ペイロードの展開にわずかな変更があったものの、同じ脅威グループ Silent Lynx によって開始されたことが確認されました。
研究の次のセクションでは、研究の技術的な部分やその他の興味深い部分に焦点を当てます。
テクニカル分析。
この脅威グループに関する調査中、コード名 ピーカバク作戦複数のキャンペーン群を発見しました。調査結果を分かりやすく示すため、分析を2つのセクションに分けました。
最初のセクションでは、脅威アクターが最終段階のリバースシェルを展開するために使用したさまざまな方法について詳しく説明します。これは主に、 ロシアとアゼルバイジャンの関係2番目のセクションでは、以下のキャンペーンに焦点を当てます。 中国と中央アジアの関係テクニカル分析は時系列順に整理されておらず、キャンペーン全体におけるイベントの正確な順序を反映していないことに注意することが重要です。
キャンペーン – I
ロシアとアゼルバイジャンの外交関係にある団体を標的としたこのキャンペーンの分析を始めましょう。
2025年XNUMX月
当初、2025年10月前半、正確には10月の第2週に、私たちのチームはПлан развитие стратегического сотрудничества.pdf.rarという悪意のあるRARアーカイブを発見しました。これは「戦略協力の発展計画」を意味します。実際、このファイル名の表記方法も確認しました。 ロシア語の文法的誤りこれは、おそらく 非ネイティブスピーカー または、Web 上で利用可能な複数の翻訳ツールを使用して自動的に生成されます。
このキャンペーンは、会談の企画や開催に関わった外交機関をターゲットにしていると考えられるため、特に 外交機関 関与または関連していた 組織と調整 ドゥシャンベでロシアとアゼルバイジャンの会談が開催、タジキスタン、2025年10月回復と強化に焦点を当てたサミットのタイミングと政治的に緊迫した状況を考えると、 戦略的協力 両国間の脅威行為は、主に 外交通信に関する情報を収集する この高レベルの関与にリンクされています。
それでは、使用された悪意のあるペイロード セットの技術的な武器を見てみましょう。
LNKの方法
私たちは不審な RAR ファイル План развитие стратегического сотрудничества.pdf.rar を探し出し、それを開いたところ、RAR ファイルには同じ名前の悪意のある LNK が含まれていることがわかりました。
LNKファイルの内容を調べたところ、このLNKファイルは基本的にpowershell.exeバイナリを悪用し、GoBuster777というGitHubリポジトリから悪意のあるPowerShellファイルをダウンロードして実行しようとしていることがわかりました。ダウンロードされるファイルは1.ps1です。興味深いことに、疑わしいファイルパスも発見しました。このパスは、本調査ブログの後半で、今後のキャンペーンの展開と追跡に活用される予定です。
1.ps1 ファイルをダウンロードすると、Silent Lynx の以前のキャンペーンとのもう 1 つの類似点が見つかりました。それは、PowerShell 経由で実行される Base64 でエンコードされた悪意のある BLOB の使用です。
Base64 BLOBをデコードすると、これがTCPベースの高速リバースシェルであり、 206.189.11.142:443ペイロードはソケットを開き、ストリームを確立し、永続的な読み取り・実行・戻りループに入ります。リモートオペレータからテキストコマンドを読み取り、Invoke-Expressionを介してローカルで実行し、列挙可能な結果を文字列に変換し、同じ接続を介して出力を書き戻します。最後に、脅威アクターがオープンソースのトンネラーも展開していることも判明しました。 リゴロン PowerShell ベースのリバース シェルと併せて使用することで、TA は被害者のマシン上で任意のコマンドを実行できるようになりました。
悪意のある SILENT LOADER インプラント。
私たちは、 2番目のインプラント 同じキャンペーンにリンクされています。 サイレントローダー.exeは、同様の場所(アゼルバイジャン)からアップロードされました。
このアーティファクトと、このグループが以前使用していた複数の別名を考慮すると、この行為者は「サイレント”という命名モチーフ。この好みがインプラントの名前の由来かもしれない。 サイレントローダー そして、私たちの継続的な使用をサポートします サイレントリンクス 追跡用のラベル。
このインプラントの技術的な詳細を詳しく調査すると、その性質は非常に単純で、最初のキャンペーンで発見されたC++ベースのローダーと非常に関連性が高いことが判明しました。このインプラントでは、iexを使用して、前のセクションで確認した悪意のある1.ps1ファイルをダウンロードします。
最後に、悪意のあるPowerShellスクリプトをダウンロードして実行するためのコマンド全体を作成します。これは、コマンドラインをCreateProcessW APIの引数として渡すことで実行されます。これにより、C2フレームワークに再度接続する新しいPowerShellプロセスが生成されます。
Silent Loader の最も興味深い点の 1 つは、2024 年 11 月から 2025 年 1 月に発見された初期ローダーと完全に一致していることです。これは、唯一の重要な違いは、ローダー バイナリ内にエンコードされた Base64 BLOB を追加する代わりに、脅威の攻撃者が GitHub からコンテンツをダウンロードする際にゆっくりとした動きをしたことであることを示しています。
悪意のある LAPLAS インプラント - TCP および TLS。
また、この攻撃グループが今回のキャンペーンで使用した悪質なインプラントも発見し、Laplasという名前で追跡しています。これはC++でプログラムされており、 TCPベースのネットワークスタック コミュニケーションのため。
このインプラントの最初の部分を調べたところ、特定のポート番号 443 で悪意のあるコマンド アンド コントロールに接続しようとしていることがわかりました。リバースシェルは基本的に次のように動作します。
- ./laplas.exe
起動時に引数が提供されない場合、コードフローはバイナリ内のハードコードされた C2 アドレスとポート番号に戻り、基本的にコネクタ関数である関数 sub_F710D0 に渡されます。
コネクタを調べてみると、最初に 5 秒間スリープし、その後バッファベースの操作を実行して C2 サーバーに接続します。
次に、別の関数がハードコードされた文字列の XOR デコード操作を実行します。デコードすると、 cmd.exe であることが判明し、これが CreateProcess API にパラメータとして渡されます。
このインプラントにはいくつか興味深い点があります。一つは、インプラントの動作の文脈ではあまり役に立たない大量のガベージコードが含まれていることです。もう一つは、C2サーバーがエコーを返すことです。インプラントがサーバーに接続しようとするたびに。
そして最後に、脅威アクターからの終了メッセージを受信すると、インプラントはすべてのリソースを解放し、正常に終了します。私たちは、同じLAPLASインプラントの別のバージョンも特定しました。これはほぼ同様のタスクを実行しますが、コマンドアンドコントロールインフラストラクチャと一部の機能やアーティファクトに若干の違いがあります。 TLSベース リバースシェル。
なお、TLSベースの機能を備えたインプラントは、ロシアとアゼルバイジャンを拠点とするキャンペーンでは使用されていません。このインプラントは複数のピボットを通じて発見されており、その技術的側面がやや独特であるため、このセクションは技術分析セクションに追加されています。
最初の興味深い点には、興味深い文字列 Phenyx2022 が含まれていますが、これは、インプラントの実行中に開発者が誇示したかった単なる嘆きの署名であると考えられます。
この部分では、インプラントはオペレータに「HELLO、Enter を押してください」というメッセージを送信し、ハンドシェイクが完了すると、I/O 操作やこのインプラントのその他の単純な側面のためにパイプと呼ばれる Windows オブジェクトを使用します。
この場合に述べたように、TLS 経由で通信しているインプラントの C2 は、異なる C2 アドレスを使用します。
オペレータから shexit メッセージを受信すると、Goodbye というメッセージとともに正常に終了します。
悪意のある .NET インプラント – SilentSweeper。
私たちは、このキャンペーンで使用された別の .NET インプラントも特定し、これを SilentSweeper という名前で追跡しています。
このインプラントの興味深い点は、複数の引数を取ることです。そのうちの「-extract」という引数は、悪意のあるPowerShellスクリプトを抽出してファイルに書き込む役割を担っています。これは基本的に、バイナリのリソースセクション内に埋め込まれています。
PowerShell をファイルに抽出する以前のオプションの他に、インプラントには、インプラントの仕様に関するヘルプのリストを提供する -? や、PowerShell スクリプトのデバッグをサポートする -debug オプションなど、他の複数のオプションも用意されています。
前述のように、インプラントはリソースから qw.ps1 というファイル名をロードし、ファイルの内容を読み取り、さらに PowerShell スクリプトの内容を実行します。
Base64ブログをデコードした結果、この攻撃は基本的に、調査の最初のセクションで分析した悪意のあるリバースシェルファイル1.ps1をダウンロードしていることが判明しました。次のセクションでは、もう一つのキャンペーンについて見ていきます。
キャンペーン – II
中国と中央アジアの外交関係の主体を標的としたキャンペーンの分析を始めましょう。
2025年9月の第2週に、私たちのチームはChina-Central Asia SummitProject.rarという名の悪意のあるRARアーカイブを発見しました。このキャンペーンは、サミットの開催に関与または関連し、意思決定や複数の協定調印、その他の調整に関与している外交機関、個人、その他の団体を標的にしていたと考えられます。 中国・中部アサイサミット、開催 アスタナ、カザフスタン、2025月XNUMX日。
これまでに発見された攻撃キャンペーンや、他のさまざまな脅威調査ベンダーによって特定された攻撃キャンペーンに基づくと、この脅威グループは鉄道やその他の重要なインフラストラクチャ領域を含む運輸および通信セクターを標的にしていることが確認されています。
したがって、このグループの過去の行動と標的セクターを分析すると、脅威アクターは交通・通信関連の取り組みに関する情報収集を狙っていた可能性が高いことが示唆されます。これらのプロジェクトは、2025年に開催された中国・中央アジア首脳会議で確立された戦略的枠組みと関連していると思われます。
それでは、使用された悪意のあるペイロード セットの技術的な武器を見てみましょう。
悪意のある.NETインプラント – SilentSweeper
疑わしい RAR ファイル China-Central Asia SummitProject.rar を調べたところ、RAR ファイルに類似した名前を持つ悪意のある実行可能ファイルが含まれていることがわかりました。
前のセクションで SilentSweeper インプラント中に分析したように、ここでは、このキャンペーンで TM3.ps1 として知られる悪意のある PowerShell スクリプトに焦点を当てます。
Base64 BLOBをデコードすると、2つのヘルパースクリプト( VBScript と PowerShellの リモートホストからスクリプトを取得し、スケジュールされたタスクを作成します。 WindowsUpdateをタスクは実行するように設定されています 6分ごと (/sc minute /mo 6) は作成直後に 1 回実行され、ダウンロードされたファイルは現在のユーザーの一時フォルダ (C:\Users\ など) に書き込まれます。 \AppData\Local\Temp\WindowsUpdateService.ps1 および …\WindowsUpdateService.vbs)。次のセクションでは、VBS と PowerShell スクリプトについて説明します。
悪意のあるVBScript。
VBScript を調べてみると、このスクリプトの唯一の目的は、基本的に PowerShell ファイルである後の段階を実行することであることが明らかになりました。
悪意のある PowerShell。
次に、WindowsUpdateService.ps1ファイルを調べたところ、エンコードされたBLOBが含まれていることがわかりました。さらにデコードしてみると、このブログで以前に分析した最終段階のリバースシェルペイロードと全く同じであることが分かりました。また、すべてのキャンペーンにおいて、攻撃者がオープンソースツールを利用していることも確認されています。 リゴロング。
次のセクションでは、狩猟とインフラストラクチャの遺物に焦点を当てます。
狩猟とインフラ。
両キャンペーンの分析中に、LNKベースのメタデータの使用、インフラストラクチャのピボット、その他のアトリビューション不明のキャンペーンなど、今後の調査の重要なピボットポイントとなる複数のアーティファクトを特定しました。それでは、それらの詳細を見ていきましょう。
LNK メタデータによるピボット。
複数のLNKベースのメタデータが、他の出所不明のキャンペーンにつながりました。その部分について詳しく見ていきましょう。
当初、悪意のある LNK ファイルを調べていたところ、上記のメタデータを含む興味深い作業ディレクトリが見つかりました。これは基本的に C:\Users\GoBus\OneDrive\Рабочий стол と表示され、基本的にデスクトップと翻訳されます。
このアーティファクトをさらに詳しく調査した結果、基本的に同じメタデータを含む11個のショートカット(.LNK)ファイル群を調査しました。興味深いことに、LNK Wayで悪意のあるタスクを実行する悪意のあるRARファイル(これも現時点では正体不明のキャンペーンであると考えられます)にも、同様のメタデータを持つLNKファイルが含まれていました。
次に、インフラストラクチャの成果物に関するピボットが、より多くの帰属不明のキャンペーンにつながるかどうかを検討します。
インフラストラクチャ成果物によるピボット。
悪意のある PowerShell リバースシェルが GitHub 上でホストされていたことがわかったため、そのアーティファクトをさらに活用して、resume.rar という名前を含む別のキャンペーンにたどり着きました。このキャンペーンは現在、まったく同様の手法を使用している標的セクターに関しては特定されていません。
次に、GitHubリポジトリから他のインフラストラクチャエンティティへの複数のピボットを持つ複数のペイロードを調査したところ、別の悪意のあるホストアドレスセットに辿り着き、さらにピボットしていくと、WindowsUpdateService.zipという悪意のあるZIPファイルを使用して悪意のあるPowerShellスクリプトを配信する別のキャンペーンを発見しました。
また、この悪意のあるインフラストラクチャ アーティファクトに関連する別のキャンペーン、およびこれらの悪意のあるファイルを提供していたキャンペーンにリンクされたこのバイナリも発見しました。
また、これらの悪意のあるアーティファクトに接続し、複数のタスクを実行する複数の実行ファイルも確認されました。次のセクションでは、インフラストラクチャの詳細を見ていきましょう。
| ホスト/IPアドレス | ASN | 所在地 |
| 62.113.66.137 | 60490 AS | ロシア() |
| 206.189.11.142 | ASN14061 | オランダ() |
| 62.113.66.7 | 60490 AS | ロシア() |
| 37.18.27.27 | 48096 AS | ロシア() |
帰属
攻撃者の特定は実に困難な部分であり、被害者学や脅威キャンペーンの様々な領域において明確な方向性を示すことは容易ではありませんが、多くの場合、ジレンマに陥る可能性があります。しかしながら、脅威グループ、特にTTP(戦術、技術、プロセス、手法)、特定の地域への関心、そしてスパイ活動を目的としたインフラプロジェクトを綿密に監視することで、ある程度まで特定範囲を限定することは可能です。したがって、これらの痕跡を念頭に置き、これらの脅威キャンペーンはSilent Lynxによるものと高い確信を持って判断しました。その理由は次のとおりです。
アーセナル重視のアトリビューション。
- この脅威グループを追跡して以来、私たちは、運営者がBase64エンコードに非常に執着していることに気付きました。 C++、PowerShell、Golang 7 .NET のリバースシェルの使い方技術分析セクションで既に確認したように、両方のインプラントのコードベースは非常によく似ているため、このグループまたはオペレーターは私たちの調査結果を追跡し、C++バイナリにハードコードするのではなく、Base64でエンコードされたBLOBをGitHubに保存することに決めたと考えられます。
- 2025年前半にこの脅威グループがトルクメニスタン政府機関をC++ローダーを含む悪意のあるZIPファイルで標的にしたキャンペーンでは、中国と中央アジアに関係する外交機関やその他の重要な組織を標的にしたときにもまったく同じ行動が見られました。これは、グループが両方のキャンペーンで同じTTP(基本的にディスクにペイロードをドロップする)を使用していたことを証明しています。 デコイ向けの素材は一切使用していません。
- 最初のスピアフィッシング圧縮ファイルと、同じ名前を持つペイロードファイル、 このグループが中央アジアを標的に展開したほとんどのキャンペーンで見られたように、このグループは特定の変更を行うにはあまりにも遅く、それが脅威の独特なパターンを生み出していると考えられます。
狩猟個体は、このグループが従う特定のパターンに基づくバイアスを作成します。 - また、両方のキャンペーンで、このグループは Golangベースのトンネリングツール、 最初のキャンペーンではRESOCKSが展開されましたが、これらのキャンペーンではLigolo-Ngに切り替えました。両方のツールは多くの技術的な類似点を共有しています。 暗号化トンネルのサポート, プロキシチェーニング, クロスプラットフォームの互換性.
犠牲者
- 当社が発表した初期調査では、この脅威アクターが複数の中央アジア諸国とその重要インフラ(政府機関、銀行セクター、そして同様の地理的ゾーンで国境を越えたインフラプロジェクトに関与する組織など)を主に標的としていることが確認されています。今回の調査でも、両方のキャンペーンで同様の点が確認されました。ロシアとアゼルバイジャンの関係を標的としたキャンペーンと、中国と中央アジアを標的としたキャンペーンには、非常に共通するインフラへのこだわりが見られ、これは脅威グループのOPSEC(運用セキュリティ)上の失策であると考えられます。
- 脅威グループは主に以下のイベントに興味を持っていると考えています。 ドゥシャンベ 会議など ロシア語-アゼルバイジャン語 国を率いる プロジェクト(実績作品) 中国・タジキスタン高速道路や北京・ドゥシャンベ間の航空路線など、ビジネスや多様な交流を目的とした攻撃が数多く発生しています。そのため、標的とされる分野に関して、被害者学の観点から中程度の確信度で攻撃の要因を特定しました。
早期改善策。
今年、Silent Lynx は中央アジア圏の関心の高いイベント、特に大規模なインフラ取引や外交上の決定や改善が多数関わる首脳会談をターゲットにしていることがわかりました。
このグループはまた、次のような出来事を追跡していると思われます。 インド・中央アジア事務次官 10月に会合を開く予定です。現時点では単なる憶測に過ぎず、今回の会合に関係する団体への早期是正措置と言えるでしょう。本調査の発表時点では、そのようなキャンペーンは確認されていませんが、本調査はあくまでも参考情報としてご活用ください。
結論
SEQRITE APTチームが1年前から命名し調査を続けてきた「Silent Lynx」は、複数のキャンペーンに関与しており、外交・インフラ整備を進めている国々や、中央アジア諸国との重要なセクターを標的としていると結論付けています。また、ロシアと中国に拠点を置く組織も標的としており、現在も活発に活動しています。攻撃手法にはほとんど変更を加えていないものの、今後は同様の対話型会合に関わる組織を標的にする可能性があります。Silent Lynxは、低コストで活動を継続するために、デュアルレイヤースクリプトとGitHubホスト型ペイロードを活用し続けると予想されます。
SEQRITE 保護。
- マルジェントCiR。
- トロイの木馬.50055.GC
- ボクスター.50066.SL
- トロイの木馬.50056.GC
IOC。
| ハッシュ(SHA-256) | マルウェアの種類 |
| ef627bad812c25a665e886044217371f9e817770b892f65cff5877b02458374e | RARファイル |
| 5b58133de33e818e082a5661d151326bce5eeddea0ef4d860024c1dbb9f94639 | RARファイル |
| 5bae9c364ee4f89af83e1c7d3d6ee93e7f2ea7bd72f9da47d78a88ab5cfbd5d4 | RARファイル |
| 72a36e1da800b5acec485ba8fa603cd2713de4ecc78498fcb5d306fc3e448c7b | LNKファイル |
| 5e3533df6aa40e86063dd0c9d1cd235f4523d8a67d864aa958403d7b3273eaaf | LNKファイル |
| b58f672e7fe22b3a41b507211480c660003823f814d58c04334ca9b7cdd01f92 | LNKファイル |
| ae51aef21ea4b422ef0c7eb025356e45d1ce405d66afbb3f6479d10d0600bcfd | PowerShellの |
| 0bce0e213690120afc94b53390d93a8874562de5ddcc5511c7b9b9d95cf8a15d | PowerShellの |
| 821f1ee371482bfa9b5ff1aff33705ed16e0147a9375d7a9969974c43b9e16e8 | PowerShellの |
| 262f9c63c46a0c20d1feecbd0cad75dcb8f731aa5982fef47d2a87217ecda45b | エグゼ |
| 123901fa1f91f68dacd9ec972e2137be7e1586f69e419fc12d82ab362ace0ba9 | エグゼ |
| 6cb54ec004ff8b311e73ef8a8f69b8dd043b7b84c5499f4c6d79d462cea941d8 | エグゼ |
| 97969978799100c7be211b9bf8a152bbd826ba6cb55377284537b381a4814216 | エグゼ |
| 9de8bbc961ff450332f40935b739d6d546f4b2abf45aec713e86b37b0799526d | エグゼ |
| b5a4f459bdff7947f27474840062cfce14ee2b1a0ef84da100679bc4aa2fcf77 | エグゼ |
| ffda4f894ca784ce34386c52b18d61c399eb2fc8c9af721933a5de1a8fff9e1b | エグゼ |
| 2c8efe6eb9f02bf003d489e846111ef3c6cab32168e6f02af7396e93938118dd | .NET 実行ファイル |
| 1531f13142fc0ebfb7b406d99a02ec6441fc9e40725fe2d2ac11119780995cd3 | .NET 実行ファイル |
| 67cf0e32ad30a594442be87a99882fa4ac86494994eee23bdd21337adb804d3f | .NET 実行ファイル |
| 036a60aa2c62c8a9be89a2060e4300476aef1af2fd4d3dd8cac1bb286c520959 | .NET 実行ファイル |
| 32035c9d3b81ad72913f8db42038fcf6d95b51d4d84208067fe22cf6323f133c | .NET 実行ファイル |
| a639a9043334dcd95e7cd239f8816851517ebb3850c6066a4f64ac39281242a3 | .NET 実行ファイル |
| a83a8eb3b522c4517b8512f7f4e9335485fd5684b8653cde7f3b9b65c432fa81 | .NET 実行ファイル |
| 26aca51d555a0ea6d80715d8c6a9f49fea158dee11631735e16ea75c443a5802 | .NET 実行ファイル |
| 303f03ae338fddfe77c6afab496ea5c3593d7831571ce697e2253d4b6ca8a69a | .NET 実行ファイル |
| 40d4d7b0bc47b1d30167dd7fc9bd6bd34d99b8e0ae2c4537f94716e58e7a5aeb | VBA |
| b0ac155b99bc5cf17ecfd8d3c26037456bc59643344a3a30a92e2c71c4c6ce8d | VBA |
| b87712a6eea5310319043414eabe69462e12738d4f460e66a59c3acb5f30e32e | ZIP |
| ホスト/IPアドレス |
| 更新プログラムの確認-Microsoft[.]ddns[.]net |
| カタログ更新-更新-microsoft[.]serveftp[.]com |
| hxxp://206.189.11[.]142/ |
| 62 [。] 113 [。] 66 [。] 137 |
| 62.[.]113[.]66[.]7 |
| 37 [。] 18 [。] 27 [。] 27 |
MITER ATT&CK
| 戦略 | テクニックID | 技名 |
| 初期アクセス / フィッシング | T1566.001 | スピアフィッシング添付ファイル |
| 実行 | T1204.001 | ユーザーの実行: 悪意のあるリンク |
| T1204.002 | ユーザーの実行:悪意のあるファイル | |
| T1106 | ネイティブ API (CreateProcess / CreateProcessW) | |
| 固執 | T1053.005 | スケジュールされたタスク/ジョブ: Windows タスク スケジューラ |
| コマンド&スクリプトインタープリター | T1059.001 | PowerShellの |
| 防衛回避 | T1027 | 難読化されたファイルまたは情報 |
| T1036 | 仮装 | |
| コマンド&コントロール | T1071 | アプリケーション層プロトコル(HTTPS / Webプロトコル) |
| T1095 | 非アプリケーション層プロトコル(生のTCP / カスタムC2) | |
| プロキシとトンネリング | T1071 / T109 | トンネリング/プロキシ(Ligolo-ngの使用)C2/メッシュ/トンネル |
| exfiltration | T1041 / T1071 | C2 チャネル / アプリケーション層を介した漏洩 |
参考情報
A1: 新聞販売店
- ロシアとアゼルバイジャン、戦略的協力の新たな段階を示唆 – Defensehere
- ドゥシャンベ、プーチン大統領と独立国家共同体(CIS)首脳らを歓迎 ― ザ・ディプロマット.
- 中国・中央アジア首脳会議:中国南方航空が北京とドゥシャンベを結ぶ新たな直行便を開設…
- 中国・中央アジア首脳会議、将来の協力に向けた新たな青写真を描く:報道官
- インドと中央アジア諸国、安全保障上の課題に取り組むためアフガニスタンと協力 | 最新ニュースインド
A2: 既存の公的研究
- Silent Lynx APT の公開:中央アジアの組織を標的とした悪意あるキャンペーン
- VTPRACTITIONERS{SEQRITE}: UNG0002、Silent Lynx、DragonClone の追跡 ~ VirusTotal ブログ.
- ShadowSilk: データ窃盗のための国境を越えたバイナリユニオン | Group-IBブログ.
- zone/eng/expertise/blog/cavalry-werewolf-atakuet-rossiyu-cherez-doveritelnye-otnosheniya-mezhdu-gosudarstvami/.
- ウイルス速報 :: サイレントリンクス:中央アジアにおけるサイバースパイ活動の実態を暴く
