Contents

• イントロダクション
• 主要ターゲット。
  • 影響を受ける業界。
  • 地理的焦点。
• 感染連鎖。
• 初期調査結果。
  • デコイ文書を調べる
• テクニカル分析
  • ステージ1 – 悪意のあるLNKスクリプト
  • ステージ2 – 悪意のある.NETインプラント
• 狩猟とインフラ。
• 結論
• Seqrite 保護。
• IOC
• MITRE ATT&CK。
• 著者

イントロダクション

SEQRITE Labs 研究チームは最近、商業および自動車関連の取引を含むロシアの自動車商取引業界をターゲットにした攻撃キャンペーンを発見しました。私たちは、CAPI バックドアと名付けた未知の .NET マルウェアの使用を確認しました。

このブログでは、初期分析中に発見したこの攻撃キャンペーンの技術的な詳細について検討し、おとり文書の詳細な調査から CAPI バックドアの分析に至るまで、感染チェーンのさまざまな段階を検証します。その後、一般的な戦術、テクニック、手順 (TTP) とともにインフラストラクチャを調べます。

主なターゲット

影響を受ける業界

• 自動車産業
• 電子商取引業界

地理的焦点

• ロシア連邦

感染連鎖

初期の調査結果

最近、2025年10月3日に私たちのチームは悪意のあるZIPアーカイブを発見しました。 VirusTotalの ここで、ZIP は、PDF および LNK 拡張子のおとりと、最終的な .NET DLL インプラントとして知られる CAPI バックドアを含むスピアフィッシング ベースの感染の予備ソースとして使用されていました。

Перерасчет заработной платы 01.10.2025（2025年10月1日時点の給与計算）というZIPファイルには、Перерасчет заработной платы 01.10.2025.lnk（これも同じ意味）という悪意のあるLNKファイルが含まれており、rundll32.exeと呼ばれるLOLBINを使用して悪意のある.NETインプラントを実行します。さらにこのファイルを実行すると、コマンド＆コントロールサーバーに接続されます。それでは、おとり文書の詳細を見てみましょう。

デコイ文書を調べる

最初に、税務署への通知番号 P4353.pdf と翻訳される Уведомление для налоговой №P4353.pdf と呼ばれるおとり文書を調べたところ、完全に空でしたが、adobe.xml と呼ばれる別のおとり文書は、税法や同様の他の概念にリンクされたルアーであることが判明しました。

最初のページを見ると、2025 年 10 月 1 日からすべての従業員に対して税金関連の変更が行われるとデコイに記載されていました。また、この文書の以降のページでは、変更内容と追加の計算について説明されるとのことです。

次に2ページ目を見ると、個人所得税（PIT）の割合に関する計算が記載されており、新しい税率が従業員の年収にどのような影響を与えるかを示しています。この資料では、300万ルーブルを超える所得について、従来の13%と新しい15%の税率を比較し、その結果、税額総額と手取り給与額がどのように変化するかを示しています。

最後のページでは、所得に関する変更点について触れており、新しい個人所得税率がどのようにして手取り給与の減少につながるのかを説明しています。また、従業員向けのガイダンスも提供されており、更新された納税義務に基づいて予算を計画し、新しい規則に関する不明点やサポートが必要な場合は人事部または経理部に連絡するよう促しています。

次のセクションではテクニカル分析について説明します。

テクニカル分析

技術分析は2段階に分かれています。まず、ZIPファイルに埋め込まれた悪意のあるLNKスクリプトを検証します。次に、バックドアの永続化に使用され、その他多くの機能を提供する悪意のある.NETインプラントを分析します。これらの機能については、後ほど詳しく説明します。

ステージ1 – 悪意のあるLNKスクリプト

ZIPファイルにはПерерасчет заработной платы 01.10.2025.lnkというLNKファイルが含まれており、調査してみると、このLNKファイルの唯一の目的は、rundll32.exeというWindowsユーティリティを使用して、悪意のあるDLLインプラントCAPIを実行することだけであることが明らかになりました。

コマンドライン引数を調べてみると、LOLBIN を利用して悪意のあるタスクを実行する config と呼ばれるエクスポート関数を実行しようとしていることがはっきりとわかります。

次のセクションでは、CAPI と呼ばれる DLL インプラントの技術的機能について説明します。

ステージ2 – 悪意のある.NETインプラント

最初の分析で、adobe.dll ファイルが最終ステージャーであり、client6.dll としても知られ、.NET でプログラムされていることが判明しました。

バイナリを解析したところ、.NETインプラント内に複数の興味深い機能セットが存在することが分かりました。 CAPI .

ここで、この興味深い機能を調べ、その機能性を分析します。

• IsAdmin – この関数は、セキュリティ識別子と呼ばれるものを使用して、バイナリが特定の管理者レベルの権限を持っているかどうかを確認します。これは、現在のセキュリティ識別子を管理者のセキュリティ識別子と照合することによって行われます。

• av – この関数は、WMI を使用してクエリ SELECT * FROM AntiVirusProduct を使用して、現在のユーザー アカウントにインストールされているすべてのウイルス対策ソフトウェアを確認し、そのリストを C2 サーバーに返します。

• OpenPdfFile – この関数は、デコイ文書をユーザー画面にPDFとして開きます。

• 接続とコマンドの受信 – 関数 Connect は、TCP クライアント（ポート 443）を使用して C2 サーバ 223.75.96 に接続します。C2 サーバから送信された命令は、 ReceiveCommands 関数によってバイト配列で受信され、その後、命令は文字列にデコードされ、それに応じて実行されます。

• 実行コマンド – この機能は、接続の切断、現在のディレクトリ パスの送信、永続的なバックドアの作成、Chrome、Edge、Firefox などのブラウザーからのデータの盗難、現在のユーザー情報の取得、現在の画面のスクリーンショットの撮影など、悪意のある IP から受信した指示を実行し、最後にすべての情報をコマンド アンド コントロールに送信します。

• dmp1、dmp2、dmp3 – これら 3 つの機能は、マシン内の現在のユーザーのブラウザ データを盗む役割を果たします。

関数dmp1はedprofile_yyyyMMddHHmmssという名前のディレクトリを作成し、そのディレクトリにあるすべてのファイルとフォルダを反復処理します。 地方の州 エッジブラウザの暗号化キーを含むフォルダを作成します。収集したすべてのデータはedprofile.zipというZIPファイルに保存され、C2サーバーに送信されます。

同様に、関数 dmp2 は chprofile_safe.zip という名前の ZIP ファイルを作成し、ブックマーク、履歴、ファビコン、トップサイト、設定、拡張機能などのすべてのデータを保存します。

dmp3関数は同様に、ユーザーのFirefoxブラウザプロファイルを検索します。プロファイルが見つかった場合、profiles.ini、installs.iniなどのファイルと、拡張機能、キャッシュファイル、サムネイル、ミニダンプなどのその他のデータをコピーし、ffprofile_safe.zipというZIPファイルに保存してC2サーバーに送信します。

• スクリーン – この関数は、現在のユーザー画面のスクリーンショットを撮り、日付と時刻も記録して、画像を png 形式で C2 サーバーに送信します。

• IsLikelyVm – この関数は、仮想マシンの可用性を確認する役割を担っています。被害者のシステムを調べるために様々な機能を使用します。以下では、それらを一つずつ見ていきます。
  • ハイパーバイザーの存在確認 – この関数は、クエリ SELECT HypervisorPresent FROM Win32_ComputerSystem を使用して、システム内の複数の仮想マシンを管理するソフトウェアである Hypervisor の存在を確認します。

• • • CheckGuestRegistryStrong – この関数は、システム内に存在する仮想マシンに特有のレジストリキーのパスをチェックします。この関数には、仮想マシンに属する可能性の高い既知のレジストリパスのリストが含まれており、それらをシステムパスと比較します。
  • 
    • CheckSmbiosMarkers – この関数は、 システム管理BIOS 、システム内に存在する仮想マシンのメーカーとモデルのリストが含まれています。次に、取得したデータをこの関数に含まれる仮想マシンの共通リストと比較します。
  • 
    • チェックPnPマーカー – この関数は、システム内に存在するすべてのPNP（プラグアンドプレイ）デバイスとその名前、製造元、そして各デバイスに固有のPNPデバイスIDを収集します。そして、これらのデータを、仮想マシンの存在を検出するために利用可能な最も一般的な文字列と比較します。
  • 
    • チェックディスクマーカー – この関数は、ディスク ドライブに存在する仮想マシンに関連する PNP (プラグ アンド プレイ) デバイスをチェックします。
    • チェックビデ​​オマーカー – この関数は、システム内に存在するすべての Video_controller デバイスを列挙し、すべてのデバイスを関数に含まれる仮想マシンの共通リストと比較します。
    • CheckVmMacOui – この機能は、ネットワーク アダプタからすべての MAC アドレスを収集し、それらを仮想マシン専用に作成されたハードコードされた MAC アドレスと比較します。
    • リアルGPU搭載 – この関数は、すべての GPU ベンダーを列挙して、被害者のマシンが正規のシステムで実行されているか、仮想マシンで実行されているかをチェックし、被害者のマシンに実際の G​​PU が搭載されているかどうかを確認します。
    • 実ディスクベンダーあり – この関数は、ディスク ドライブ内のすべてのディスク ベンダーを列挙して、被害マシンに実際のディスク ベンダーがあるかどうかを確認します。
    • バッテリーまたはラップトップシャーシあり – この機能は、システムで使用可能なバッテリーまたはラップトップ シャーシのタイプをチェックします。
    • HasOemPcVendor – この機能は、 DELL 、 HP 、 LENOVO など、システムの既知の実際の製造元名を検索し、システムが正規のものか仮想マシンであるかを判断します。

次に、このファイルは永続性を設定し、元のDLLファイルが削除されたとしても悪意のある操作を継続できるようにします。そのために、後述する2つの手法が用いられます。

• 持続1 – この関数は、CAPIバックドア（.NETインプラント）のアドレスを取得します。 GetExecutingAssembly().場所 方法を実行し、インプラントをユーザーのローミングディレクトリ下のMicrosoftフォルダにコピーします。 アプリケーションデータ フォルダを作成します。その後、Microsoft.lnkというLNKファイルを作成し、現在のユーザーのスタートアップフォルダに保存します。Microsoft.lnkのターゲットパスをWindowsユーティリティrundll32.exeに設定し、引数をバックドアの保存場所として設定します。

• 持続2 – この関数もpersist1関数と同様に、CAPIバックドアをまずユーザーのローミングディレクトリ下のMicrosoftフォルダに保存します。 アプリケーションデータ 次に、スケジュールされたタスクオブジェクトのインスタンスを作成し、新しいタスク定義を構築します。 AdobePDF作成後1時間で開始し、7日間1時間ごとに繰り返すトリガーを設定します。次に、保存されたCAPIバックドアを含むC:\Windows\System32\rundll32.exeを実行するアクションを追加し、このスケジュールされたタスクをスケジューラのルートフォルダに登録します。

これらはCAPIバックドアが実行する興味深い機能の一部です。他にも、コンピューター情報やその他の重要な情報を収集し、C2サーバーに送信するといった機能があります。

狩猟とインフラ

当初、この悪意のある DLL インプラントには 2 つのネットワーク関連のアーティファクトが接続されており、そのうちの 1 つは DGA アルゴリズムから生成されたランダム ドメインであることがわかりました。

私たちは 10 月 3 日からこのキャンペーンを追跡してきましたが、脅威の攻撃者が初期段階でドメインを使用した後、いくつかのアクティビティを実行して、悪意のあるドメインを元のドメインにリダイレクトしたことを確認しました。

その後しばらくして、脅威の攻撃者はポート 443 で CAPI バックドアをホストし、スピア フィッシング キャンペーンの元の Web サイトへのハイパーリンクを追加しました。

ASNの下にホストされている悪意のあるインフラ 197695 AS として知られる組織の下で AS-REG 。

インプラントがコールバックして被害者から盗んだすべての情報を外部に持ち出す後のインフラストラクチャは、組織ASN 39087の下でホストされていました。 Pakt LLC 。

結論

私たちは10月3日からこのキャンペーンを追跡しており、正規のドメインであるcarprice[.]ruに酷似した偽のドメインcarprlce[.]ruを使用していることを発見しました。これは、脅威アクターがロシアの国を標的にしていることを示しています。 自動車セクター悪意のあるペイロードは .NET DLL スティーラーとして機能し、確立する 持続性 将来の悪意ある行為を防ぐためです。

SEQRITE保護

• トロイの木馬.49992.SL
• ラットCiR

IOC

MD5	ファイル名
c6a6fcec59e1eaf1ea3f4d046ee72ffe	ペレラシェット_ザラボットノイ_プラティ_01.10.2025.zip
957b34952d92510e95df02e3600b8b21	Перерасчет заработной платы 01.10.2025.lnk
c0adfd84dfae8880ff6fd30748150d32	アドビ.dll

C2

hxxps://carprlce[.]ru

91.223.75[。]96

MITER ATT＆CK

戦略	テクニックID	名前
初期アクセス	T1566.001	スピアフィッシング添付ファイル
実行	T1204.002	ユーザー実行: 悪意のあるファイル (LNK)
	T1218.011	署名付きバイナリプロキシ実行: rundll32.exe
固執	T1564.001	アーティファクトの非表示: 隠しファイルとディレクトリ
プーケットの魅力	T1047	Windows Management Instrumentation（WMI）
	T1083	ファイルとディレクトリの検出
クレデンシャルアクセス	T1555.003	Webブラウザからの認証情報
収集	T1113	スクリーンキャプチャ
コマンドおよび制御	T1071.001	アプリケーション層プロトコル：Webプロトコル
exfiltration	T1041	C2チャネルを介した浸透

著者。

プリヤ・パテル

スバジート・シンハ