近年、パキスタンに関連するAPTによるインド政府機関へのサイバー攻撃が活発化しています。Seqrite LabsのAPTチームは、テレメトリ分析と実環境でのハンティングを通じて、同様のキャンペーンを複数発見しました。こうした脅威グループの一つであるSideCopyは、過去数週間にわたり、36つの別々のキャンペーンで、一般的に使用されているAllaKore RATを展開しており、各キャンペーンでは2種類のRATを同時に展開していました。また、同時期に、親APTグループであるTransparent Tribe(APTXNUMX)は、Crimson RATを継続的に使用していましたが、そのバージョンはエンコード版またはパック版でした。彼らのCXNUMXインフラストラクチャに基づいて、これらのAPTを相関関係に関連付けることができ、改めてそれらの下位組織間の関係性を証明することができました。このブログでは、これらのキャンペーンの概要と、過去の攻撃を検証することで、どのように関連性が確立されるかについて考察します。
インドはサイバー脅威の分野で最も狙われている国の一つであり、パキスタン関連のAPTグループだけでなく、 サイドコピー APT36(Transparent Tribe)はインドを標的にしているが、Operation ラスティックウェブ の三脚と フライトナイト 出現しました。同時に、地下フォーラムにおける初期アクセスブローカーによるインド政府機関および企業へのアクセス権販売の増加、注目を集めたランサムウェア攻撃、そして2900年第85四半期には2024以上のTelegramハクティビストグループによるDDoS攻撃、ウェブサイト改ざん、データベース漏洩などの破壊的攻撃がXNUMX件以上発生しました。
脅威アクターのプロフィール
SideCopyは、パキスタンと関連のある高度持続的脅威(APT)グループであり、少なくとも2019年から南アジア諸国、特にインドの防衛機関および政府機関を標的としています。その攻撃ツールには、Ares RAT、Action RAT、AllaKore RAT、Reverse RAT、Margulas RATなどが含まれます。SideCopyの親グループであるTransparent Tribe(APT36)は、SideCopyと同様に持続的な標的を狙っており、コードの類似性があり、Linuxマルウェアの武器を常に更新しています。2013年から活動しており、Crimson RAT、Capra RAT、Eliza RAT、Oblique RATなどのペイロードを継続的に使用しています。
サイドコピー
これまでに、侵害されたドメインをペイロードのホストとして利用し、同じ感染チェーンを持つ3つの攻撃キャンペーンが観測されています。以前のようにAction RAT(DUser.dll)ペイロードをサイドロードするのではなく、オープンソースのリモートエージェントのカスタム亜種である2つの亜種が、 アラコレ 最終ペイロードとして展開されます。
図1 – SideCopyの攻撃チェーン
感染プロセス
- スピアフィッシングは、二重拡張子形式のショートカット (LNK) を含むアーカイブ ファイルから始まります。
- LNKファイルを開くと、MSHTAプロセスが起動し、侵害されたドメインでホストされているリモートHTAファイルが実行されます。ステージ1のHTAには、デコイファイルとDLLという64つの埋め込みファイルが含まれており、いずれもBaseXNUMXエンコードされています。
- DLLはメモリ内で実行され、デコイファイルがドロップされて開かれます。 前に 確認されているように、DLL は「Mahesh Chand」という名前とその他のさまざまなランダムなテキストが記載された複数のテキスト ファイルを作成します。
- その後、DLL は同じ侵害されたドメインから 2 つの HTA ファイルをダウンロードし、第 2 段階のプロセスを開始します。
- 両方の HTA には埋め込みファイルが含まれており、今回は EXE と 2 つの DLL です。
- DLLの1つはメモリ内で実行され、残りの2つのファイルをデコード後にpublicディレクトリにドロップします。最終ペイロードの永続性は、レジストリキー「Run」によって事前に設定されます。例:
REG ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “issas” /t REG_SZ /F /D “C:\Users\Public\issas\issas.exe”
図2 – キャンペーンのXNUMXつでドロップされたファイル
- 最後に、AllaKore RATである最終ペイロードは両方とも実行され、同じIPアドレスで接続されますが、C2通信用のポート番号は異なります。最終的なDLLはサイドロードされたものではなく、完全に正規の古いファイルです。
各ステージの詳細な分析は、以前の記事で確認できます。 ブログ の三脚と ホワイトペーパータイムアウト、再接続、クリップボード用のタイマーに加え、デスクトップ、ファイル、キーボード用の個別のソケットも備えています。AllaKoreの機能は以下のとおりです。
- システム情報の収集
- ファイルとフォルダの列挙
- ファイルのアップロードと実行
- キーロギング
- クリップボードのデータを盗む
Delphi ベースの AllaKore RAT のキャンペーンの詳細は次の通りです。
| キャンペーン | 内部名 | コンパイラタイムスタンプ |
| 1 | msmediaGPビュー
msmediarenderapp |
06-MAR-2024 |
| 2 | msvideolib
msrenderapp |
18-MAR-2024 |
| 3 | msvideolib
msrenderapp |
01-APR-2024 |
RATはまず、ピンポンコマンドを送受信し、C2サーバからのコマンドをリッスンして接続が確立されていることを確認します。以下のネットワークトラフィックに示すように、両方のRATペイロードは連携して動作し、互いに補完し合います。サイズも異なり、一方は3.2MB、もう一方はDouble Action RATと同様にほぼ倍の7MBです。各インスタンスには、システム情報に基づいた接続IDが作成されます。
図3 – ポート9828のネットワークトラフィック
図4 – ポート6663のネットワークトラフィック
小さいサイズのペイロード内の C2 通信に使用される暗号化された文字列のリスト:
| 暗号化されました | 復号化された |
| 7oYGAVUv7QVqOT0iUNI | ソケットメイン |
| 7oYBFJGQ | OK |
| 7o4AfMyIMmN | インフォ |
| 7ooG0ewSx5K | PING |
| 7ooGyOueQVE | PONG |
| 7oYCkQ4hb550 | 閉じる |
| 7oIBPsa66QyecyD | ノセンハ |
| 7oIDcXX6y8njAD | フォルダ |
| 7oIDaDhgXCBA | |
| 7ooD/IcBeHXEooEVVuH4BB | ファイルをダウンロード |
| 7o4H11u36Kir3n4M4NM | ファイルをアップロードする |
| Sx+WZ+QNgX+TgltTwOyU4D | 不明(Windows) |
| QxI/Ngbex4qIoVZBMB | Windows Vistaの |
| QxI/Ngbex46Q | Windows 7 |
| QxI/Ngbex4aRKA | Windows 10 |
| QxI/Ngbex4KTxLImkWK | Windows 8.1/10 |
AllaKoreエージェントの一部である、作成、削除、実行、コピー、移動、名前変更、圧縮、アップロードなど、様々なファイル操作が組み込まれています。これらのコマンドは、より大きなペイロードで発見されました。
図5 – ファイル移動操作
図6 – XNUMX番目のペイロード内のコマンド
ドロップされたDLLファイルはAllaKore RATによってサイドロードされたものではなく、後に悪意のある目的で使用される可能性のある正当なファイルです。これらはMicrosoft Windows関連のライブラリですが、有効な署名が含まれているのはごくわずかです。
| ドロップされたDLL名 |
PDB |
詳細説明 |
コンパイルタイムスタンプ |
| msdr.dll | Windows.Management.Workplace.WorkplaceSettings.pdb | Windows ランタイム WorkplaceSettings DLL | 2071-08-19 |
| braveservice.dll | dbghelp.pdb | Windows イメージ ヘルパー | 2052-02-25 |
| salso.dll | D3d12core.pdb | Direct3D 12 コア ランタイム | 1981-03-18 |
| salso.dll | OrtcEngine.pdb | Microsoft Skype ORTC エンジン | 2020-01-07 |
| salso.dll | msvcp120d.amd64.pdb | Microsoft® C ランタイム ライブラリ | 2013-10-05 |
| FI_Ejec13234.dll | IsAppRun.pdb | やるべきこと:<> | 2013-10-15 |
おとり
2023つのおとりファイルが確認されており、そのうち21つは2022年2024月から24月にかけて行われた以前のキャンペーンで使用されていました。文書内の日付「2022年XNUMX月XNUMX日」は削除され、おとりファイルの名前はXNUMX年XNUMX月を示す「Grant_of_Risk_and_HardShip_Allowances_Mar_XNUMX.pdf」に変更されています。名前が示すように、これはインド国防省管轄下の陸軍将校への手当支給に関するXNUMX年の勧告であり、XNUMXつのキャンペーンのうちXNUMXつで使用されています。
図7 – デコイ(1)
19つ目のデコイは、同じ手当のカテゴリーに関連しており、後払い形式での支払いについて言及しています。こちらも以前使用された古い文書で、日付は2023年XNUMX月XNUMX日です。
図8 – デコイ(2)
インフラストラクチャとアトリビューション
侵害されたドメインは、昨年からのパッシブ DNS レプリケーションで確認されているように、以前のキャンペーンで使用されたものと同じ IP アドレスに解決されます。
| IP | 侵害されたドメイン | キャンペーン |
| 151.106.97[。]183 | inniaromas[.]com
ivinfotech[.]com |
2023年11月
|
| revivelife.in | 2024年3月 | |
| vparking[.]オンライン | 2024年4月 | |
| 162.241.85[。]104 | シナジー[.]in | 2023年4月 |
| elfinindia[.]com | 2023年5月 | |
| オッコマン[.]com | 2023年8月 | |
| サンファイアグローバル[.]in | 2023年10月 | |
| マスターリアルターズ[.]in | 2023年11月 | |
| スモークワールド[.]in | 2024年3月 |
AllaKore RATのC2サーバーは、ドイツのAS51167 – Contabo GmbHに登録されており、SideCopyによって広く使用されています。攻撃チェーンと使用された攻撃手段に基づくと、これらのキャンペーンはSideCopyによるものと推定されます。SideCopyは高い信頼性を持ち、感染を実行するために同様のインフラストラクチャを使用しています。
| 164.68.102[。]44 | vmi1701584.contaboserver.net |
| 213.136.94[。]11 | vmi1761221.contaboserver.net |
以下のグラフは、AllaKore RATに関連する3つのSideCopyキャンペーンすべてで観測されたテレメトリヒットを示しています。最初の2つのキャンペーンは3月に2回の急増を示していますが、3つ目のキャンペーンは4月の第2週に観測されています。
図9 – SideCopyキャンペーンのヒット数
トランスペアレント トライブ
Crimson RATのサンプルはVirusTotalプラットフォーム上で定期的に多数確認されており、検出率は約40~50です。当社の脅威ハンティングでは、新たなサンプルを発見したものの、検出数はごくわずかでした。
図10 – APT36の感染経路
感染チェーンを解析し、変化を観察したところ、Crimson RATのサンプルは通常のようにmaldocファイルに直接埋め込まれていないことがわかりました。今回のXLAM形式のmaldocファイルには、デコイとbase64エンコードされたblobというXNUMXつのオブジェクトが含まれていました。
図11 – マクロの追加機能
VBAマクロを抽出すると、ファイルの読み取り、Base64のデコード、バイナリから文字列への変換を行う追加関数が見つかります。このマクロは、不正ドキュメント内に埋め込まれた64つのBaseXNUMX BLOBを読み取ってデコードします。このBLOBにはアーカイブされたCrimson RAT実行サンプルが含まれており、その後、デコイファイルが開かれます。
図12 – VBA感染フロー
クリムゾンラット
最終的なRATペイロードには、C22通信用の2個のコマンドを使用するという同じ機能が含まれています。このCrimson RATの検出率は通常高いため、これらのサンプルの検出率は低いことがわかります。これらの.NETサンプルのコンパイルタイムスタンプは2024年03月17日で、PDBは次のようになっています。
「C:\新しいフォルダ\mulhiar tarsnib\mulhiar tarsnib\obj\Debug\mulhiar tarsnib.pdb」
図13 – VTでの検出数
C2コマンドをプロセスフローに沿って確認したところ、大きな変化は見られませんでした。C2のIPアドレスは204.44.124[.]134で、5つの異なるポート(9149、15597、18518、26791、28329)で接続確認を試みます。以下は、Crimson RATの最近のサンプル(コンパイルタイムスタンプ順)のC2コマンドの一部です。これらのサンプルも、22~24個のコマンドを使用しています。これらのコマンドはすべて圧縮されておらず(最後の10つを除く)、サイズは20~XNUMXMBと一定です。
図14 – 最近のサンプルにおけるCrimson RATのC2コマンド
BinDiffで確認したところ、以前のサンプルとの類似性は常に75%以上でした。RATが解釈するコマンドの順序の変化は、数値の加算またはコマンドのXNUMXつに分割した場合にのみ確認されました。
図15 – Crimson RATの亜種間の類似性の比較
さらに、エジリスの .NETリアクター 「ShareX」や「Analytics Based Card」という名前が付いたものも発見されました。APT36は、次のような異なるパッカーや難読化ツールを使用しています。 コンフューザーエクス, 暗号難読化ツール, イーズファスケーター、過去にも確認されています。以前のバージョンと比較すると、通常のコマンドは通常通り22~24個のコマンドを含みますが、難読化されたコマンドには40個のコマンドが含まれています。この場合のC2はjuichangchi[.]onlineで、909、67、65、121の2つのポートに接続しようとしています。これらのCXNUMXコマンドのいくつかはまだ機能していませんが、最初に文書化されたものと似ています。 Proofpoint22個のコマンドとその機能の一覧は、以前の ホワイトペーパー APT36 について。
図16 – デオブフェクション後の比較
おとり
「Imp message from dgms」という不正文書には、インド鉱山安全総局(DGMS)の情報が含まれています。このおとり文書には、軍事または防衛に関連する土地政策や都市政策に関する様々な事項が記載されており、インド政府を標的としていることがわかります。「All details」という別の不正文書は空ですが、「posting list」という見出しが付いています。
図17 – DGMSデコイ
クリムゾンキーロガー
Crimson RATと同様のPDB命名規則を持つ悪意のある.NETファイルが最近確認されました。コンパイルタイムスタンプは2023年06月14日です。解析の結果、すべてのキーボード操作をキャプチャするキーロガーペイロードが発見されました。
- PDB: e:\vdhrh madtvin\vdhrh madtvin\obj\Debug\vdhrh madtvin.pdb
各キーストロークをキャプチャしてファイルに書き込むだけでなく、フォアグラウンドで実行中のプロセス名も収集します。トグルキーはキーの組み合わせに基づいて個別にキャプチャされ、クリップボードのデータも保存ファイルにコピーされます。
図18 – クリムゾンキーロガー
相関
に似て コードの重複 以前、SideCopyとAPT36の間でLinuxベースのペイロードで確認された、Transparent TribeがC2として使用していたドメインに基づき、Virus TotalとValidinを用いて、このドメインのパッシブDNSレプリケーションを確認しました。上記の2つの圧縮サンプルのC176.107.182は、以下のタイムラインに示すように、それぞれ異なるIPアドレス(55[.]162.245.191と214[.]XNUMX)に解決されていました。これにより、これらのCXNUMXがいつ活動を開始したかが分かります。
図19 – C2ドメインのタイムライン
これにより、さらに155.94.209つのIPアドレス、4[.]162.255.119と207[.]7が判明しました。前者はVirus Totalで73/2039しか検出されていないペイロードと通信していますが、後者は新しいマルウェアとは関連付けられていません。このマルウェアは、コンパイルタイムスタンプが02-24-6.55である別の.NET Reactorで圧縮されたペイロードのようですが、Crimson RATのペイロードと比較するとサイズが小さく(XNUMXMB)、前者はVirus TotalでXNUMX/XNUMXしか検出されていないペイロードと通信しています。
図20 – 脱バッファー処理されたAllaKore RAT
サンプルのデフォルト名はインド語で「Kuchbhi.pdb」で、意味は何でも構いません。難読化解除後、SideCopyによって展開された上記のDelphiベースのAllaKore RATに類似したC2コマンドが確認できます。ただし、今回は.NET版で、以下のXNUMXつのコマンドが含まれています。
| C2コマンド | 演算 |
| リスト_ドライブ | マシン上のドライブのリストを取得して送信する |
| リストファイル | 指定されたパス内のファイルとフォルダを列挙する |
| アップロードファイル | ファイルをダウンロードして実行 |
| PING | C2をリッスンし、ライブステータスを確認するためにPONGを送信します |
| 情報を取得 | ユーザー名、マシン名、OS情報を送信する |
永続性は、レジストリ キーを実行するか、スタートアップ ディレクトリを介して設定する 2 つの方法で設定されます。
SideCopyのLinuxベースのAres RATステージャペイロードと、Transparent TribeのLinuxベースのPythonマルウェア「Poseidon」およびその他のデスクトップユーティリティのステージャペイロードにおいて、コードの有用性の重複が見つかりました。両グループ間で同様のコードの重複が見られ、C2インフラが共有されている可能性も考えられます。AllaKore RAT(オープンソース)は、Action RATペイロードと共に2019年に発見されて以来、SideCopyと関連付けられています。同様に、Crimson RATはAPT36の社内ツールセットである可能性が指摘されています。
インフラストラクチャとアトリビューション
C2 を調べたところ、APT36 が以前使用したのと同じターゲット名が特定され、Windows Server 2012 および 2022 バージョンが実行されていることがわかりました。
| IP | ASN | 組織 | 国 | 名前 |
| 204.44.124[。]134 | AS8100 | クアドラネット株式会社 | 米国 | WIN-P9NRMH5G6M8 |
| 162.245.191[。]214 | AS8100 | クアドラネット株式会社 | 米国 | WIN-P9NRMH5G6M8 |
| 155.94.209[。]4 | AS207083 | クアドラネット株式会社 | Netherlands | WIN-P9NRMH5G6M8 |
| 176.107.182[。]55 | AS47987 | ゼムリャニ・ドミトロ・レオニドヴィッチ | ウクライナ | WIN-9YM6J4IRPC |
この相関関係と以前の攻撃チェーンに基づくと、これらのキャンペーンは高い確度で APT36 グループと SideCopy グループの両方に起因しており、両者の間にさらに強力なつながりが確立されます。
結論
パキスタンと関連のあるAPTグループによるインド政府機関および防衛機関への執拗な攻撃は続いており、同様の脅威を伴う新たな活動も発生しています。SideCopyは、関連性が高いAllaKore RATを複数のキャンペーンに展開していますが、その親グループであるTransparent Tribe(APT36)は、Crimson RAT(T)を継続的に使用し、検出を回避するために変更を加えています。
イスラエル・イラン紛争をはじめとする様々な地政学的出来事により脅威の状況が変化する中、インドは今後も継続的に標的となることは避けられません。インドでは選挙が迫っており、増加するサイバー犯罪から国民を守るために、必要な予防措置を講じることが推奨されます。
Seqrite 保護
- サイドコピー.48519
- サイドコピー.48674.GC
- トロイの木馬.48761.GC
- サイドコピー.S30112905
- サイドコピー
- ダウンローダー.48760.GC
- 真紅
IOC
サイドコピー
| HTA | |
| 6cdc79655e9866e31f6c901d0a05401d | jfhdsjfh34frjkfs23432.hta |
| dbf196ccb2fe4b6fb01f93a603056e55 | フラッター.hta |
| 37b10e4ac08534ec36a59be0009a63b4 | プラグイン.hta |
| d907284734ea5bf3bd277e118b6c51f0 | bjihfsdfhdjsh234234.hta |
| 2a47ea398397730681f121f13efd796f | プラグイン.hta |
| 6ab0466858eb6d71d830e7b2e86dab03 | フラッター.hta |
| ecc65e6074464706bb2463cb74f576f7 | 4358437iufgdshvjy5843765.hta |
| da529e7b6056a055e3bbbace20740ee9 | min-js.hta |
| cadafc6a91fc4bba33230baed9a8a338 | ノードjsmin.hta |
| 埋め込みDLL | |
| 1e5285ee087c0d73c76fd5b0b7bc787c | hta.dll |
| f74c59fd5b835bf7630fbf885d6a21aa | hta.dll |
| 3cc6602a1f8a65b5c5e855df711edeb0 | hta.dll |
| 990bfd8bf27be13cca9fa1fa07a28350 | SummitOfBion.dll |
| 29fa44d559b4661218669aa958851a59 | SummitOfBion.dll |
| 26bde2d6a60bfc6ae472c0e9c8d976e2 | SummitOfBion.dll |
| eceb986d166526499f8f37fd3efd44db | SummitOfBion.dll |
| 2a680cf1e54f1a1f585496e14d34c7e9 | SummitOfBion.dll |
| アラコレRAT | |
| 76ca50a71e014aa2d089fed1251bf6cd | issas.exe |
| 71b285c8903bb38d16d97c1042cbeb92 | クイック.exe |
| 9684bf8955b348540446df6b78813cdb | コーブ.exe |
| 48e1e695258a23742cd27586e262c55a | salso.exe |
| 4ba7ca56d1a6082f0303f2041b0c1a45 | コーブ.exe |
| 6cda3b5940a2a97c5e71efcd1dd1d2ca | FI_Ejec1.exe |
| おとり | |
| 30796f8fb6a8ddc4432414be84b8a489
8740d186877598297e714fdf3ab507e9 |
Grant_of_Risk_and_HardShip_Allowances_Mar_24.pdf |
| DLL | |
| abeaa649bd3d8b9e04a3678b86d13b6b | msdr.dll |
| b3a5e819e3cf9834a6b33c606fc50289 | braveservice.dll |
| 312923e0baf9796a846e5aad0a4d0fb6 | salso.dll |
| 1d7fc8a9241de652e481776e99aa3d46 | salso.dll |
| 760ff1f0496e78d37c77b2dc38bcbbe4 | salso.dll |
| fa5a94f04e684d30ebdc4bf829d9c604 | FI_Ejec13234.dll |
| 侵害されたドメイン | |
| revivelife[.]in | 151.106.97[。]183 |
| スモークワールド[.]in | 162.241.85[。]104 |
| vparking[.]オンライン | 151.106.97[。]183 |
| C2とポート | |
| 164.68.102[。]44 | 6663、9828 |
| 213.136.94[。]11 | 6663、7880 |
| URLは | |
| hxxps://revivelife[.]in/assets/js/other/new/ | |
| hxxps://revivelife[.]in/assets/js/other/new/jfhdsjfh34frjkfs23432.hta | |
| hxxps://revivelife[.]in/assets/js/other/grant/ | |
| hxxps://revivelife[.]in/assets/js/other/grant/32476sdfsdafgsdcsd3476328.hta | |
| hxxps://revivelife[.]in/assets/js/support/i/index.php | |
| hxxps://revivelife[.]in/assets/js/support/c/index.php | |
| hxxps://smokeworld[.]in/wp-content/plugins/header-footer-show/01/ | |
| hxxps://smokeworld[.]in/wp-content/plugins/header-footer-show/01/bjihfsdfhdjsh234234.hta | |
| hxxps://smokeworld[.]in/wp-content/plugins/header-footer-other/intro/index.php | |
| hxxps://smokeworld[.]in/wp-content/plugins/header-footer-other/content/index.php | |
| hxxps://vparking[.]online/BetaVersion/MyDesk/assets/fonts/account/show/index.php | |
| hxxps://vparking[.]online/BetaVersion/MyDesk/assets/fonts/account/show/4358437iufgdshvjy5843765.hta | |
| hxxps://vparking[.]online/BetaVersion/MyDesk/plugins/quill/support/intro/ | |
| hxxps://vparking[.]online/BetaVersion/MyDesk/plugins/quill/support/content/index.php | |
| 主催者 | |
| C:\ProgramData\HP\flutter.hta | |
| C:\ProgramData\HP\plugins.hta | |
| C:\ProgramData\HP\min-js.hta | |
| C:\ProgramData\HP\nodejsmin.hta.hta | |
| C:\Users\Public\quick\quick.exe | |
| C:\Users\Public\quick\msdr.dll | |
| C:\Users\Public\quick\quick.bat | |
| C:\ユーザー\パブリック\issas\issas.exe | |
| C:\Users\Public\issas\braveservice.dll | |
| C:\Users\Public\issas\issas.bat | |
| C:\Users\Public\cove\cove.exe | |
| C:\Users\Public\cove\salso.dll | |
| C:\Users\Public\cove\cove.bat | |
| C:\Users\Public\salso\salso.exe | |
| C:\Users\Public\salso\salso.dll | |
| C:\Users\Public\ssolve\ssolve.bat | |
| C:\Users\Public\FI_Ejec1\FI_Ejec1.exe | |
| C:\Users\Public\FI_Ejec1\FI_Ejec1324.dll | |
| C:\Users\Public\FI_Ejec1\FI_Ejec1.bat | |
APT36
| マルドック | |
| f436aa95838a92b560f4cd1e1c321fe7 | 詳細.xlam |
| afb24ec01881b91c220fec8bb2f53291 | dgms.xlam からの重要なメッセージ |
| Base64 圧縮された Crimson RAT | |
| 7bb8f92770816f488f3a8f6fe25e71a7 | oleObject1.bin |
| 303b75553c5df52af087b5b084d50f98 | oleObject2.bin |
| クリムゾンラット | |
| 898df40a8f2a6702c0be059f513fab9d | mulhiar tarsnib.exe |
| e3cf6985446cdeb2c523d2bc5f3b4a32 | mulhiar tarsnib.exe |
| bb5b569b38affb12dfe2ea6d5925e501 | ShareX.exe |
| 7cdc81a0f5c5b2d341de040a92fdd23a | 分析ベースのカード.exe |
| 81b436873f678569c46918862576c3e0 | vdhrh madtvin.exe (キーロガー) |
| AllaKore RAT (.NET) | |
| e291fffbcb4b873b76566d5345094567 | メールバード.exe |
| おとり | |
| 9d337c728c92bdb227055e4757952338 | すべての詳細.xlam.xlsx |
| d7b909f611e8f9f454786f9c257f26eb | dgms.xlam.xlsx からの重要なメッセージ |
| C2とポート | |
| 204.44.124[。]134 | 9149、15597、18518、26791、28329 |
| ジュイチャンチ[.]オンライン
176.107.182[。]55 162.245.191[。]214 |
909、67、65、121 |
| 155.94.209[。]4 | 8888、9009、33678 |
| 主催者 | |
| C:\ユーザー\ \Documents\mulhiar tarsnib.scr | |
| C:\ユーザー\ \AppData\Meta- \ | |
| C:\ユーザー\ \AppData\mulhiar tarsnib.scr\mulhiar tarsnib.png | |
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| リソース開発 | T1583.001
T1584.001 T1587.001 T1588.001 T1588.002 T1608.001 T1608.005 |
インフラストラクチャの取得:ドメイン
侵害インフラストラクチャ: ドメイン 機能の開発:マルウェア 機能の取得:マルウェア 機能の取得:ツール ステージ機能:マルウェアのアップロード ステージ機能: リンクターゲット |
| 初期アクセス | T1566.001
T1566.002 |
フィッシング:スピアフィッシング添付ファイル
フィッシング:スピアフィッシング リンク |
| 実行 | T1106
T1129 T1059 T1047 T1204.001 T1204.002 |
ネイティブAPI
共有モジュール コマンドおよびスクリプト インタプリタ Windowsの管理の実装 ユーザーの実行: 悪意のあるリンク ユーザーの実行:悪意のあるファイル |
| 固執 | T1547.001 | レジストリ実行キー / スタートアップ フォルダー |
| 防衛回避 | T1027.010
T1036.005 T1036.007 T1140 T1218.005 T1574.002 T1027.009 T1027.010 |
コマンド難読化
マスカレード:正当な名前または場所と一致する マスカレード: 二重のファイル拡張子 ファイルまたは情報の難読化/デコード システムバイナリプロキシ実行: Mshta ハイジャック実行フロー:DLLサイドローディング 難読化されたファイルまたは情報: 埋め込まれたペイロード 難読化されたファイルまたは情報: コマンドの難読化 |
| プーケットの魅力 | T1012
T1033 T1057 T1083 T1518.001 |
クエリレジストリ
システム所有者/ユーザーの発見 プロセスディスカバリー ファイルとディレクトリの検出 ソフトウェアの発見: セキュリティ ソフトウェアの発見 |
| 収集 | T1005
T1056.001 T1074.001 T1119 T1113 T1125 |
ローカルシステムからのデータ
入力キャプチャ:キーロガー ステージングされたデータ:ローカルデータステージング 自動収集 スクリーンキャプチャ ビデオキャプチャを選択します。 |
| コマンドおよび制御 | T1105
T1571 T1573 T1071.001 |
入力ツール転送
非標準ポート 暗号化されたチャネル アプリケーション層プロトコル:Webプロトコル |
| exfiltration | T1041 | C2チャネルを介した浸透 |
著者:
サトウィック・ラム・プラッキ
