概要
Seqrite Labs APTチームは、UNG0002(別名Unknown Group 0002)を特定し、追跡しました。UNGXNUMXは、中国、香港、パキスタンを含む複数のアジア地域で活動を展開する、スパイ活動に特化した一連の活動群です。この脅威主体は、ショートカットファイル(LNK)、VBScript、そしてCobalt StrikeやMetasploitなどのエクスプロイト後ツールを好んで使用し、履歴書を題材にしたおとり文書を一貫して展開して被害者を誘い込んでいます。
クラスターの活動は、2 つの主要なキャンペーンにわたります。 コバルト・ウィスパー作戦(2024年2024月~XNUMX年XNUMX月) の三脚と アンバーミスト作戦(2025年2025月~XNUMX年XNUMX月)オペレーション・コバルト・ウィスパーでは、防衛、電気工学、民間航空分野を標的とした20件の感染チェーンが確認されました。最近のオペレーション・アンバーミストは進化を遂げ、Shadow RAT、Blister DLL Implant、INET RATといった改良された軽量インプラントを用いて、ゲーム、ソフトウェア開発、学術機関を標的としています。
最近のAmberMist作戦では、脅威主体はClickFixテクニックも悪用しています。これは、偽のCAPTCHA認証ページを通して被害者を誘導し、悪意のあるPowerShellスクリプトを実行させるソーシャルエンジニアリング手法です。さらに、UNG0002はDLLサイドローディング技術を活用し、特にRasphoneやNode-Webkitバイナリといった正規のWindowsアプリケーションを悪用して悪意のあるペイロードを実行します。
主な発見
- 多段階攻撃UNG0002 は、悪意のある LNK ファイル、VBScript、バッチ スクリプト、PowerShell を使用した高度な感染チェーンを採用し、Shadow RAT、INET RAT、Blister DLL などのカスタム RAT インプラントを展開します。
- ClickFixソーシャルエンジニアリングこのグループは偽の CAPTCHA 検証ページを利用して被害者を騙し、悪意のある PowerShell スクリプトを実行させます。具体的には、パキスタン海事省の Web サイトを偽装します。
- DLLサイドローディングの悪用最近のキャンペーンでは、正規の Windows アプリケーション (Rasphone、Node-Webkit) を継続的に悪用して DLL サイドローディングを行い、検出を回避しながら悪意のあるペイロードを実行しました。
- 履歴書をテーマにしたおとり文書: 名門校のゲームUIデザイナーやコンピュータサイエンス専攻の学生の偽のプロフィールなど、特定の業界をターゲットにしたリアルな履歴書文書の使用。
- 永続的なインフラストラクチャ: 1 年以上にわたる複数のキャンペーンにわたって、一貫した命名パターンと運用セキュリティを備えたコマンド アンド コントロール インフラストラクチャを維持しました。
- 対象業界防衛、電気工学、エネルギー、民間航空、学術界、医療機関、サイバーセキュリティ研究者、ゲーム、ソフトウェア開発部門を組織的に標的にしています。
- アトリビューションの課題UNG0002は、他の脅威アクターのプレイブックの手法を模倣することで高い適応力を示し、アトリビューションを複雑化する、進化を続ける脅威クラスターです。Seqrite Labsは、このグループが東南アジアを拠点とし、スパイ活動に重点を置いていると高い確度で評価しています。より多くのインテリジェンスが利用可能になるにつれて、関連するキャンペーンは今後拡大または洗練される可能性があります。
製品概要
UNG0002は、少なくとも2024年XNUMX月以降、複数のアジアの管轄区域を標的とした一貫した活動を維持している、南アジアを拠点とする高度で持続的な脅威団体です。このグループは高い適応性と技術的熟練度を示し、一貫した戦術、技術、手順を維持しながらツールセットを継続的に進化させています。
脅威アクターが特定の地理的地域(中国、香港、パキスタン)と標的の業界に注力していることは、情報収集、つまり典型的なスパイ活動への戦略的なアプローチを示唆しています。正規の文書に見えるおとり文書、ソーシャルエンジニアリングの手法、そして高度な回避策を装う手法を用いて、十分なリソースと経験を備えた活動を展開していることが示唆されます。
UNG0002は、オペレーション・コバルト・ウィスパーとオペレーション・アンバーミストの両方において一貫した運用パターンを示しており、同様のインフラストラクチャ命名規則、ペイロード配信メカニズム、標的選定基準を維持しています。このグループは、主にCobalt StrikeとMetasploitフレームワークを使用していましたが、Shadow RAT、INET RAT、Blister DLLといったカスタムインプラントを開発するようになったことから、その持続性の高さが伺えます。
注目すべき技術的痕跡には、Shadow RATの場合はC:\Users\The Freelancer\source\repos\JAN25\mustang\x64\Release\mustang.pdb、INET RATの場合はC:\Users\Shockwave\source\repos\memcom\x64\Release\memcom.pdbといった開発環境を示すPDBパスが含まれます。これは「Mustang」や「ShockWave」といったコードネームが使われている可能性を示唆しており、既存の脅威グループの模倣を示唆しています。感染チェーン全体とキャンペーンの詳細な詳細に関する詳細な技術分析は、当社の包括的なレポートをご覧ください。 ホワイトペーパー.
結論
脅威活動を特定のグループに帰属させることは常に複雑な作業です。標的のパターン、戦術と手法(TTP)、地理的な焦点、そして運用上のセキュリティ上の潜在的な不備など、複数の領域にわたる詳細な分析が必要です。UNG0002は、Seqrite Labsが積極的に監視している進化を続けるクラスターです。 より多くの情報が入手できるようになると、関連するキャンペーンを拡大または改善する可能性があります。現時点での調査結果に基づき、このグループは東南アジアを拠点とし、高い適応力を示していると高い確信を持って判断しています。彼らは、スパイ活動に重点を置いた攻撃者の特定を困難にするために、他の脅威アクターのプレイブックに見られる手法を模倣することがよくあります。また、これらのキャンペーンのハンティングに尽力いただいたmalwarehunterteamをはじめとするコミュニティの他の研究者の方々にも感謝いたします。
IOC
- 非 PE [スクリプトベースのファイル、ショートカット、C2 構成、暗号化されたシェルコード BLOB]
| ファイルの種類 | ハッシュ(SHA-256) |
| LNK(ショートカット) | 4ca4f673e4389a352854f5feb0793dac43519ade8049b5dd9356d0cbe0f06148 |
| 55dc772d1b59c387b5f33428d5167437dc2d6e2423765f4080ee3b6a04947ae9 | |
| 4b410c47465359ef40d470c9286fb980e656698c4ee4d969c86c84fbd012af0d | |
| SCT(スクリプトレット) | c49e9b556d271a853449ec915e4a929f5fa7ae04da4dc714c220ed0d703a36f7 |
| VBS(VBスクリプト) | ad97b1c79735b1b97c4c4432cacac2fce6316889eafb41a0d97f2b0e565ee850 |
| c722651d72c47e224007c2111e0489a028521ccdf5331c92e6cd9cfe07076918 | |
| 2140adec9cde046b35634e93b83da4cc9a8aa0a71c21e32ba1dce2742314e8dc | |
| バッチ スクリプト (.bat) | a31d742d7e36fefed01971d8cba827c71e69d59167e080d2f551210c85fddaa5 |
| PowerShell (.ps1) | a31d742d7e36fefed01971d8cba827c71e69d59167e080d2f551210c85fddaa5 |
| TXT – C2 構成 | 2df309018ab935c47306b06ebf5700dcf790fff7cebabfb99274fe867042ecf0
b7f1d82fb80e02b9ebe955e8f061f31dc60f7513d1f9ad0a831407c1ba0df87e |
| シェルコード (.dat) | 2c700126b22ea8b22b8b05c2da05de79df4ab7db9f88267316530fa662b4db2c |
- PE – インプラント
| ハッシュ(SHA-256) | マルウェアの種類 | Notes |
| c3ccfe415c3d3b89bde029669f42b7f04df72ad2da4bd15d82495b58ebde46d6 | ブリスターDLLインプラント | Operation AmberMistで使用され、Node-Webkit経由でDLLがサイドロードされる |
| 4c79934beb1ea19f17e39fd1946158d3dd7d075aa29d8cd259834f8cd7e04ef8 | ブリスターDLLインプラント | 上記と同じファミリー、変異の可能性あり |
| 2bdd086a5fce1f32ea41be86febfb4be7782c997cfcb028d2f58fee5dd4b0f8a | INET RAT | 分析対策とC2の柔軟性を備えたShadow RATの書き換え |
| 90c9e0ee1d74b596a0acf1e04b41c2c5f15d16b2acd39d3dc8f90b071888ac99 | シャドウRAT | デコイと設定ローダーを使用してRasphone経由で展開 |
MITER ATT&CK
| 戦略 | 技術 | テクニックID | 観察された行動/例 |
| 偵察 | 情報狙ったスピアフィッシング | T1598.002 | 特定の分野をターゲットにするために、仕事をテーマにした履歴書(例:Zhang Wanwan および Li Mingyue の履歴書)を使用します。 |
| リソース開発 | 能力開発 | T1587 | カスタム インプラント: INET RAT (Shadow RAT の書き換え)、Blister DLL ローダーの使用。 |
| インフラストラクチャを取得する | T1583.001、T1583.006 | 偽装ドメインの使用 (例: moma[.]islamabadpk[.]site)。ASN の使用。 | |
| 初期アクセス | スピアフィッシング添付ファイル | T1566.001 | LNK および VBS での悪意のある ZIP の使用 (例: 张婉婉简历.zip、李明月_CV.pdf.lnk)。 |
| ドライブバイコンプロマイズ(ClickFixテクニック) | T1189 | 悪意のあるサイトが、ユーザーを騙してクリップボードにコピーされた PowerShell を貼り付けさせます。 | |
| 実行 | コマンドおよびスクリプト インタープリター (PowerShell、VBScript、バッチ) | T1059 | VBS ➝ BAT ➝ PowerShell によるマルチステージ実行。 |
| 署名付きバイナリプロキシ実行(wscript、rasphone、regsvr32) | T1218 | 実行およびサイドローディングに wscript.exe、regsvr32.exe、rasphone.exe などの LOLBIN を使用します。 | |
| スクリプト(スクリプトレット - .sct ファイル) | T1059.005 | さらなるペイロード実行のために、regsvr32 経由で run.sct を使用します。 | |
| 固執 | スケジュールされたタスク/ジョブ | T1053.005 | SysUpdater、UtilityUpdater などのタスクは定期的に実行されるようにスケジュールされています。 |
| 権限昇格 | DLL検索順序ハイジャック | T1574.001 | rasphone.exe、Shadow RAT 用の node-webkit、Blister ローダーを介した DLL サイドローディング。 |
| 防衛回避 | 難読化されたファイルまたは情報 | T1027 | 難読化されたスクリプト、2 進数でエンコードされた CXNUMX 構成、SCT 内のジャンク コード。 |
| ファイルまたは情報の難読化/デコード | T1140 | INET RAT が list.txt から C2 構成を復号化します。 | |
| ソフトウェア パッキング (シェルコード ローダー) | T1027.002 | Blister は AES を使用して update.dat を復号化し、シェルコードを挿入します。 | |
| 間接的なコマンドの実行 | T1202 | P/Invoke を使用して DLL をロードし、regsvr32 を介して SCT を実行します。 | |
| クレデンシャルアクセス | 入力キャプチャ(Shadow/INET RAT内の潜在的可能性) | T1056 | RAT 機能は資格情報の盗難の可能性を示唆しています。 |
| プーケットの魅力 | システム情報の発見 | T1082 | INET RAT は実行時にコンピューター/ユーザー名を収集します。 |
| コマンド&コントロール | アプリケーション層プロトコル:Webプロトコル | T1071.001 | Shadow/INET RAT は HTTP(S) 経由で通信します。 |
| 入力ツール転送 | T1105 | 外部サーバーからダウンロードされたペイロードとデコイ。 | |
| 収集 | ローカルシステムからのデータ | T1005 | おそらく、ファイルの収集やクリップボードへのアクセスのために RAT を経由します。 |
| exfiltration | C2チャネルを介した浸透 | T1041 | Shadow/INET RAT リバース シェル機能は、同じ HTTP チャネルを介したデータ トンネリングを提案します。 |
著者
サトウィック・ラム・プラッキ
スバジート・シンハ
