マルウェア

Unit 42、相互に関連の疑われる中東・アフリカ・米国の組織に対する攻撃を観測利用された新たなツールセットを解説

7 min read

概要

Unit 42 のリサーチャーは、中東・アフリカ・米国の組織に対する一連の攻撃を観測しました。これらの攻撃は互いに関連しているものと見られます。本稿は、この攻撃過程で使われた一連のツールについて解説し、それにより攻撃者のアクティビティに関する手がかりを明らかにします。私たちは、この調査を共有し、検出・防止・ハントに関する推奨事項を提供することで、組織の全般的なセキュリティ態勢の強化に貢献できればと考えています。

これらのツールは以下のアクティビティに使われていました。

バックドア機能の確立
コマンド & コントロール (C2)
ユーザークレデンシャル (認証情報) の窃取
機密情報の漏出

Unit 42 は、ここに調査結果を共有することが、今回観測したツールから皆さんが自組織を守る一助となればと考えています。

私たちは、侵害された組織の性質、観測された戦術・技術・手順 (TTP)、ツールセットのカスタマイズ性から、この脅威アクティビティのクラスターは、国家支援型脅威アクターと一致すると中程度の確度で評価しています。私たちは特定の国家ないし脅威グループは確認していません。

このクラスターで使用されたツールは以下の通りです。

私たちが Agent Racoon と名付けた新たなバックドア
- このマルウェアファミリーは、.NET フレームワークを使って書かれています。ドメインネームサービス (DNS) プロトコルを使って秘密のチャネルを作成し、さまざまなバックドア機能を提供します。脅威アクターは、米国、中東、アフリカ全域の組織を標的とした複数の攻撃で、ほかの 2 つのツールとともにこのツールを使っていました。その C2 インフラは 2020 年までさかのぼれます。
私たちが Ntospyと名付けた新たなツール
- このマルウェアは、ユーザークレデンシャル窃取用のネットワークプロバイダー DLL モジュールです。
Mimikatz のカスタマイズ版 Mimilite

侵害された組織は以下のセクターに属していました。

教育
不動産
小売
非営利団体
通信
政府

戦術・技術・手順 (TTP) とツールのユニークな類似性に基づいて、私たちはこの脅威アクティビティのクラスターを CL-STA-0002 として追跡しています。

以下、私たちが観測したアクティビティの詳細とツールセットの特徴について解説します。

パロアルトネットワークスのお客様は、Cortex XDR、Advanced URL Filtering、DNS Security、 Advanced Wildfire を通じ、これらの脅威からの保護を受けています。Unit 42 インシデントレスポンスチームは、本稿で取り上げた脅威をはじめ、さまざまな脅威への個別対応を提供しています。

関連する Unit 42 のトピック	DNS, Mimikatz, Backdoor

アクティビティの概要

この脅威アクターは、さまざまな被害組織に対し、C:\Windows\Temp や C:\Temp のような一時ディレクトリを使って、ツールセットの特定コンポーネントを展開していました。また、バッチスクリプトと PowerShell スクリプトには、以下のような類似したファイル名を使っていました。

c:\windows\temp\crs.ps1
c:\windows\temp\ebat.bat
c:\windows\temp\install.bat
c:\windows\temp\mslb.ps1
c:\windows\temp\pb.ps1
c:\windows\temp\pb1.ps1
c:\windows\temp\pscan.ps1
c:\windows\temp\set_time.bat
c:\windows\temp\usr.ps1

攻撃者はすべての被害組織に共通して Ntospy を使っていましたが、Mimilite ツールと Agent Racoon マルウェアは非営利団体や政府関連組織の環境でのみ発見されています。

各攻撃セッションの後、脅威アクターは cleanmgr.exe を使ってセッション中に使用された環境をクリーンアップしていました。

Ntospy によるクレデンシャルへのアクセス

クレデンシャルの窃取にあたり、脅威アクターはネットワークプロバイダーを実装したカスタム DLL モジュールを使っていました。ネットワークプロバイダーモジュールは、Microsoft 提供のインタフェースを実装する DLL コンポーネントです。これを使うと、認証プロセスで使うネットワークプロトコルを追加でサポートできます。

この技術については十分に文書化されています。2004 年の BlackHat では、「Capturing Windows Passwords using the Network Provider API」と題したセッションで、Sergey Polak 氏がこの技術を披露しました。また 2020 年には、リサーチャーの Grzegorz Tworek 氏も、自身のツールである NPPSpy をこの技術を実装して GitHub にアップロードしています。

DLL モジュールのファイル命名パターンと、以前のリサーチでの同ツールへの参照から、Unit 42 のリサーチャーはこのマルウェアファミリーを「Ntospy」と名付けました。この脅威アクターは、Ntospy DLL モジュールをネットワークプロバイダーモジュールとして登録し、認証プロセスを乗っ取ることにより、被害者がシステム認証を試みるたびにユーザークレデンシャルにアクセスできるようにしていました。

図 1 は、Microsoft Exchange Server 環境において、同マルウェアが認証プロセス中に悪意のある DLL モジュールをロードするために使ったプロセスパスを示しています。

画像 1 は、Microsoft Exchange Server 環境で DLL モジュールをロードするプロセスのさまざまなパスを示したスクリーンショットです。 — 図 1. Microsoft Exchange 環境で悪意のある DLL コンポーネントをロードしているプロセスのイメージパス

この脅威アクターによるこの技術の実装にはいくつかユニークな特徴があります。私たちの観測期間中、彼らは異なるバージョンの Ntospy マルウェアを作成していました。いずれも以下のような共通点があります。

Microsoft の更新プログラムの命名規則をまねたファイル名の使用。
.msu という拡張子をつけることで Microsoft Update Package ファイルに見せかけ、受け取ったクレデンシャルを平文で保存する。
異なるサンプルを同一コンパイル環境にリンクする PE の Rich ヘッダーハッシュ。

DLL モジュールをインストールするため、脅威アクターは credman と呼ばれる新たなネットワークプロバイダーを登録します。これにあたって彼らは C:\Windows\Temp\install.bat というインストールスクリプトを使い、reg.exe を使ってネットワークプロバイダーをインストールします。その後、このマルウェアは DLL モジュールのパスが悪意のある DLL モジュールのパス (c:\windows\system32\ntoskrnl.dll) に向くよう設定します。

図 2 は、同じマルウェアファミリーに属することが特定された、さまざまな DLL モジュールの静的な共通点を示しています。この画像は、サンプルの PE セクションのほか、Rich PE ヘッダーハッシュにも重複があることを示しています。

画像 2 は、サンプル間に共通の静的な特徴を示した図です。最上段にある、オレンジ色のアイコンから続いている濃いグレーの 6 本の矢印は、中段にあるマルウェアの形をした赤いアイコンを指しています。これらのマルウェアからも、薄いグレーの矢印が伸びて、重複するかたちでファイルのアイコンを差し示しています。 — 図 2. サンプル間の静的な特徴の関係を表すグラフ

同じ PE の Rich ヘッダーハッシュを持つサンプル群は、同じ環境でコンパイルされていることがわかりました。この場合は Visual Studio 2019 v16.0.0 build 27508 という環境でした。このマルウェアファミリーのほかのサンプルは、べつの環境でコンパイルされたり、手を加えて重複を避けたりしていました。

ビルド環境が共通していないサンプル群は、実際に動作は似ているものの、実装には若干の違いがあります。たとえば、マルウェアサンプルの中には、クレデンシャル保存用のファイルパスを平文でハードコードしているものがあります。図 3 と図 4 は、べつのサンプルが暗号化したファイルパスやスタック文字列をどのように使っているかを示したものです。

画像 3 は多数のコード行からなるスクリーンショットです。この疑似コードでは、赤い矢印で示した部分がハードコードされたファイルパスを示しています。 — 図 3. 平文でハードコードされたファイルパスをもつ疑似コード

画像 4 は多数のコード行からなるスクリーンショットです。この疑似コードでは、赤い矢印で示した部分が暗号化されたファイルパスを示しています。 — 図4 ストリーム暗号で暗号化されたファイルパスをもつ擬似コード

実行時にファイルパスを復号すると、暗号化されたファイルパスを使っているものでも、同じパターンのファイルパスを使っていることがわかります (図 5)。

画像 5 は、実行時に復号化されたファイルパスのスクリーンショットです。Address、Hex、ASCII という 3 つの列が表示されています。 — 図 5. 実行時に復号されたファイルパス

私たちが確認した DLL モジュールはすべて、同様のパターンのファイルパスを使い、.msu ファイル拡張子を悪用して Microsoft Update Package を装っていました。これらのマルウェアサンプルでは、以下のパスを使います。

c:/programdata/microsoft/~ntuserdata.msu
c:/programdata/package cache/windows10.0-kb5000736-x64.msu
c:/programdata/package cache/windows10.0-kb5009543-x64.msu
c:/programdata/packag~1/windows 6.1-kb4537803.msu

また、DLL ファイルは以下のファイルパスに格納されています。

C:\Windows\System32\ntoskrnl.dll
C:\Windows\Temp\ntoskrnl.dll
C:\Windows\Temp\ntos.dll

1 つめのファイルパスが、実際にネットワークプロバイダーモジュールをインストールするのに使われるパスです。Temp ディレクトリーは、脅威アクターが DLL モジュールを一時格納するために使う作業用ディレクトリーです。上記のファイルパスが示すように、この脅威アクターは (ntoskrnl.exe という Windows システムファイルをまねた) Windows のバイナリー名のパターンを踏襲することで、被害者やアナリストがうっかり悪意のある DLL コンポーネントを見逃すようにしむけていました。

最初のアクティビティは、ファイルハッシュ (SHA256 bcd2bdea2bfecd09e258b8777e3825c4a1d98af220e7b045ee7b6c30bf19d6df) を持つマルウェアサンプルによって特定されました。このファイルハッシュは、2023 年 6 月に私たちが公開した、CL-STA-0043 という名前の別の脅威アクティビティクラスターと重複するものです。

Mimilite によるクレデンシャルのダンプ

クレデンシャルや機密情報の収集に使われていたツールはもう 1 つあります。Mimikatz と呼ばれる著名ツールをカスタマイズしたもので、サンプル内の参照によると、脅威アクターはこれを Mimilite と呼んでいるようです。

このツールは Mimikatz の簡略版で、実行にはコマンドラインからパスワードを与える必要があります。

C:\temp\update.exe 1dsfjlosdf23dsfdfr

1	C:\temp\update.exe 1dsfjlosdf23dsfdfr

実行されると、このバイナリーはコマンドライン引数を復号キーとして受け取り、ストリーム暗号を使って実際のペイロードを復号します。復号されたペイロードの実行前に、このバイナリーはペイロードが正しい鍵で正常に復号されたことを、完全性チェックを実行して検証します。図 6 のコードスニペットが示すように、完全性チェックは、復号されたペイロードの MD5 ハッシュをハードコード値の b855dfde7f778f99a3724802715a0baa と比較することで行います。

画像 6 は多数のコード行からなるスクリーンショットです。3 つの赤い矢印が実行ロジックを示しています。 — 図 6. 実行ロジック

正しく実行されると、このツールはクレデンシャルをファイルパス C:\Windows\Temp\KB200812134.txt にダンプします。こうしたファイル名を選ぶことも Microsoft Update を偽装する脅威アクターの試みの 1 つです。

Mimilite のサンプルは C:\temp\update.exe で見つかりました。ファイルハッシュは SHA256 3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98 です。これが最初に VirusTotal にアップロードされたのは 2020-05-11 05:43:00 UTC で、野生で最初に確認されたのは 2021-02-12 21:54:35 UTC でした。ひとつ興味深いのが、VirusTotal によれば、このサンプルは以下のパスとファイル名を使ってアップロードされ、野生で発見されていることです。

C:\restrict\analysis\apt_sorted\attack_case\[REDACTED_LOCATION]\[REDACTED_COUNTRY_ISO_CODE]-computers\blobloader\3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98

update.exe

C:\restrict\analysis\apt_sorted\attack_case\[REDACTED_LOCATION]\[REDACTED_COUNTRY_ISO_CODE]-computers\blobloader\3490ba26a75b6fb295256d077e0dbc13e4e32f9fd4e91fb35692dbf64c923c98

update.exe

このパスに含まれている (analysis 「分析」や attack_case 「攻撃事例」といった) 要素からすると、同バイナリーはある種のリサーチに関連しており、このバイナリーのアップロード主は、これが国家支援型のアクターとつながっていると考えていたのかもしれません。

Agent Racoon バックドア

Agent Racoon マルウェアファミリーの作成目的はバックドア機能の提供にあります。このマルウェアは .NET フレームワークを使って書かれていて、DNS を使って C2 サーバーと秘密のチャネルを確立します。Unit 42 のリサーチャーは、特定されたサンプルのコード内で見つかった複数の参照にもとづき、このマルウェアファミリーを「Agent Racoon」と命名しました (図 7)。

画像 7 は、.NET プロジェクトの詳細のスクリーンショットです。アセンブリー名 (raccoon)、デフォルトの名前空間 (agent)、ターゲットフレームワーク (.NET Framework 4)、出力タイプ (Console Application)、スタートアップオブジェクト (agent.Program) のエントリーがあります。バインディングリダイレクトの自動生成は選択されていません。 — 図 7. .NET プロジェクトの詳細

実行時のマルウェアは以下のように事前定義された設定を持ちます。

DNS 秘密チャネルの作成に使うベースドメイン
サンプルごとに一意のキー。これをシードとして、DNS 通信を暗号化する暗号化パスワードを生成する
侵害したシステムから DNS サーバーが読み取れない場合のフォールバック用 DNS サーバー

私たちが特定した C2 ドメインはすべて、似たような基本パターンを踏襲しており、サンプルごとに、長さ 4 文字のユニークな値の識別子を持ちます。

[4 文字].telemetry.[ドメイン].com

Program.dns_ip の値は発見されたサンプルごとに異なっており、これは脅威アクターが標的環境から収集した特定の設定をもつバイナリーをビルドしていることを示す可能性があります。

画像 8 は多数のコードからなるスクリーンショットです。3 つの赤い矢印は、マルウェアサンプルの主な機能を示しています。 — 図 8. マルウェアサンプルの main 関数

マルウェアはこのパターンを使って C2 サーバーと通信しますが、この通信時にサブドメインを追加して DNS クエリーを作成します。このさい、Punycode でエンコーディングした IDNA (Internationalizing Domain Names for Applications) ドメイン名を使います。このエンコーディングタイプは、インターネットホスト名の Unicode 値を ASCII エンコードで表現したものです。

このドメイン名は以下のパターンに従っています。

[ランダムな値].a.[4 文字].telemetry.[ドメイン].com

図 9 の Wireshark スクリーンショットは、DNS クエリー全体を示しています。

画像 9 は、多数のコード行のスクリーンショットです。赤い括弧で示したのが DNS クエリーのサンプルです。 — 図 9. サンプル DNS クエリー

C2 サーバーとの通信を管理するため、マルウェアは図 10 に示す通信ループを使います。

画像 10 は、多数のコード行からなるスクリーンショットです。4 つの赤い矢印は通信ループを示している。 — 図 10. 通信ループ

上記の通信ループの主な特徴は以下の通りです。

通信ループは、C2 サーバーから回答の xn--cc を受信するか、通信エラーが発生した時点で終了する。
メッセージ間のランダムな遅延には複数の理由がある。
- ネットワークのスパイクを避けるため。
- 潜在的なネットワークの混雑を避けるため。
- ランダム性を持たせることによるネットワークビーコンの検出回避の試みとして。
Program.Util.RC 経由の全通信メッセージの暗号化。

暗号化ルーチンはストリーム暗号を実装しています。この暗号は、サンプルの Program.key(this.defaultkey) ごとに一意な初期キーを取ります (図 11)。次に、長さ 1 バイトの暗号鍵を作成し、この鍵を使って XOR でメッセージを暗号化します。

画像 11 は多数のコード行からなるスクリーンショットです。2 本の赤い矢印が (this.defaultkey) のインスタンスを指していて、1 本の赤い矢印は for ループのなかの message[i] ^= b; の行を指しています。 — 図 11. ストリーム暗号のルーチン

図 12 のコードスニペットに示すように、C2 サーバーに送信されるメッセージ長に応じて、異なるサブドメインがクエリーに追加されます。

画像 12 は、何行ものコードのスクリーンショットです。赤い括弧で示されているのは、リクエストの一部を組み立てているところです。 — 図 12. リクエストを組み立てている部分 (一部)

完全修飾ドメイン名 (FQDN) の組み立て部分に this.Rand() コンポーネントが含まれている理由は、キャッシュを回避してリクエストが C2 サーバーに到達することを保証するためです。

Agent Racoon は、以下のバックドア機能を提供します。

コマンド実行
ファイルのアップロード
ファイルのダウンロード

Agent Racoon それ自体は永続化メカニズムを提供していませんが、私たちが観測したアクティビティの場合、このマルウェアはスケジュールタスクにより実行されていました。

Unit 42 のリサーチャーは、telemetry.geoinfocdn[.]com のべつのサブドメインを使う、以下のサンプルを発見しました (図 13)。ドメイン geoinfocdn[.]com は 2022/08/19 UTC に、1 年間登録されていました。

画像 13 は、ファイルパスとベースコマンド & コントロールドメインにリンクされているマルウェアサンプルのグラフです。 — 図 13. ファイルパスとベース C2 ドメインにリンクされたサンプル

Unit 42 のリサーチャーは、Agent Racoon マルウェアファミリーを 2022 年 7 月まで遡ることができました。2022 年 9 月と 2022 年 7 月に、エジプトとタイから、同マルウェアファミリーの 2 つのサンプルが、以下の SHA256 ハッシュで VirusTotal にアップロードされていました。

3a2d0e5e4bfd6db9c45f094a638d1f1b9d07110b9f6eb8874b75d968401ad69c
dee7321085737da53646b1f2d58838ece97c81e3f2319a29f7629d62395dbfd1

これら 2 つのサンプルは、同じサブドメインパターンを踏襲していますが、今回 C2 に使用されたドメインは telemetry.geostatcdn[.]com でした。脅威アクターは、以下に示す日に、同ドメインに関連し、以下のアクティビティを行っていました。

登録日: 2020/08/27 UTC
野生での初認: 2021/06/17 23:10:58 UTC
更新: 2021/08/18 UTC
失効: 2022/08/27 UTC

図14 からは、この情報によって、2020 年以降、異なる C2 ドメイン名とファイルパスを使う、2 つのマルウェアサンプルグループを特定できることがわかります。

画像 14 は、ファイルパスとベースコマンド & コントロールドメインにリンクされているマルウェアサンプルのグラフです。 — 図 14. マルウェアサンプルを特定

脅威アクターは、Agent Racoon のバイナリーを Google Update や Microsoft OneDrive Updater のバイナリーに偽装しようとしました。

マルウェア開発者はソースコードに小さな修正を加えて検知を逃れようとしていました。図 15 に示すように、DNS の秘密チャネルを確立するため、平文でハードコードされたドメインを使用するサンプルもあれば、Base64 エンコードされた文字列を使うサンプルもあります。

画像 15 は、何行ものコードのスクリーンショットです。赤い矢印はコマンド & コントロールドメインの文字列を示しています。 — 図 15. Base64 でエンコードされた C2 ドメイン

Base64 の機能を除けば相違点は設定にあり、実際のソースコードにはありません。ただし、SHA256 ハッシュ 354048e6006ec9625e3e5e3056790afe018e70da916c2c1a9cb4499f83888a47 のサンプルは例外です。

このサンプルは、コンパイルのタイムスタンプが 2075/02/23 08:12:59 UTC に変更されていますが、これはアクティビティの時間枠外です。

図16 に示すように、脅威アクターはまた、シグネチャーベースの検出を回避するため、定数 cmd.exe を難読化しようとしていました。彼らはこの定数を Base64 でエンコードしてから定数 399 を加えることで、この Base64 でエンコードした値をシグネチャーに検出されないようにしていました。

画像 16 は 2 枚のスクリーンショットを並べたものです。赤い矢印は、サンプルに見られる難読化された cmd.exe のパターンを示しています。 — 図 16. 難読化された cmd.exe のパターン。

データ漏出

Unit 42 のリサーチャーはまた、攻撃者が PowerShell スナップインを使って Microsoft Exchange 環境の電子メールなどの機密情報を収集し、電子メールのダンプに成功したことを確認しました。

上記コマンドの検索条件で、脅威アクターは似たようなコマンドを使い、さまざまなフォルダー、メールボックス、日付を検索し、それらの電子メールをダンプしていました。

電子メールをダンプ後、脅威アクターは、コマンドラインの RAR ツールで圧縮してから .pst ファイルを漏出しようとしていました。

.pst ファイルを圧縮するコマンドラインの RAR ツール。 — .pst ファイルを圧縮するコマンドラインの RAR ツール

ただし、脅威アクターはおよそ 8 分後、taskkill.exe ツールを使って、.pst ファイルの圧縮試行をキャンセルしていました。

最終的に、脅威アクターは raren.exe の使用を取りやめ、単純に .pst ファイルの名前を変更して IIS のルートディレクトリーに移動し、Web サーバー経由でこの圧縮ファイルをダウンロードするさいのエラーログを偽装しました。

そして最終的に ai.pst ファイルは削除されました。

このプロセスを、検索条件を変え、複数のメールボックスについて繰り返します。

電子メールの漏出に加え、Unit 42 のリサーチャーは、被害者のローミングプロファイルの漏出も確認しました。同じ Active Directory 環境にある異なるコンピューターにログインするさいは、このローミングプロファイルを使って、対象のユーザーに同一のプロファイルを提供しています。

このファイルを漏出させるため、脅威アクターはまず certutil.exe で対象システムにスタンドアローン版の 7-Zip ツールをドロップし、ドロップした 7-Zip でディレクトリーを圧縮し、圧縮したファイルを 100MB のチャンクに分割していました。

ディレクトリを圧縮してファイルを 100MB のチャンクに分割 — ディレクトリを圧縮ファイルを 100MB のチャンクに分割

その後、同じ手順で脅威アクターはコンテンツを漏出させていました。

結論

本稿ではここまで、脅威アクターのツールセットについて解説してきました。お読みいただいた皆さんには、本稿の情報をもとに自社ネットワーク内の脅威ハントをしていただければと思います。本稿がこれらのツールによる攻撃がないかどうかを特定する一助となれば幸いです。これらのツールは、まだ特定の脅威アクターには関連付けられていませんし、単一クラスターやキャンペーンに完全に限定されているわけでもありません。

本稿の冒頭でも述べたように、私たちは SHA256 bcd2bdea2bfecd09e258b8777e3825c4a1d98af220e7b045ee7b6c30bf19d6df を持つ Ntospy のサンプルが、以前に特定済みの脅威アクティビティクラスター、CL-STA-0043 と重複していることを確認しています。しかしながら、重複はそのサンプルに限ったものではありません。

私たちは、両アクティビティクラスターに共通して、侵害被害を受けている組織を2 つ特定しています。たとえば、Microsoft Exchange PowerShell スナップインやネットワークプロバイダー DLL モジュールの 1 つなど、両クラスターに共通する TTP もあります。

Unit 42 のリサーチャーは以下の理由により、この脅威アクティビティクラスターが、国家支援型脅威アクターに関連したものであると、中程度の確度で評価しています。

使われた検出回避技術や防御回避技術
観測された漏出アクティビティ
被害組織のタイプ
使われたツールのカスタマイズ度合い
観測された TTP

パロアルトネットワークスのお客様は、以下の製品を通じて、上記の脅威から保護されています。

Cortex XDR には、本調査で共有した IoC に関連する検出と保護が含まれています。
Advanced URL Filtering と DNS Security は、関連する C2 ドメインを悪意のあるものとしてブロックします。
Advanced WildFire は、本稿で解説した IoC に鑑み、機械学習モデルと分析手法の見直しと更新を行いました。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、下記の電話番号までお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
EMEA: +31.20.299.3130
APAC: +65.6983.8730
日本: (+81) 50-1790-0200

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください｡

MITRE ATT&CK へのマッピング

本稿で明らかにしたツールセットにまつわる調査のなかで、Unit 42 のリサーチャーは一連の TTP を特定し、以下の MITRE ATT&CK マトリックスにマッピングしました。

ID	名前
T1003	OS Credential Dumping
T1018	Remote System Discovery
T1021.006	Remote Services: Windows Remote Management
T1027.009	Obfuscated Files or Information: Embedded Payloads
T1030	Data Transfer Size Limits
T1036.005	Masquerading: Match Legitimate Name or Location
T1036.008	Masquerading: Masquerade File Type
T1041	Exfiltration Over C2 Channel
T1046	Network Service Discovery
T1047	Windows Management Instrumentation
T1053.005	Scheduled Task/Job: Scheduled Task
T1059.001	Command and Scripting Interpreter: PowerShell
T1059.003	Command and Scripting Interpreter: Windows Command Shell
T1070.004	Indicator Removal: File Deletion
T1070.006	Indicator Removal: Timestomp
T1071.004	Application Layer Protocol: DNS
T1074	Data Staged
T1078.002	Valid Accounts: Domain Accounts
T1087.002	Account Discovery: Domain Account
T1112	Modify Registry
T1114	Email Collection
T1132.001	Data Encoding: Standard Encoding
T1136.002	Create Account: Domain Account
T1140	Deobfuscate/Decode Files or Information
T1505.003	Server Software Component: Web Shell
T1556.008	Modify Authentication Process: Network Provider DLL
T1560.001	Archive Collected Data: Archive via Utility
T1564.002	Hide Artifacts: Hidden Users
T1570	Lateral Tool Transfer
T1573.001	Encrypted Channel: Symmetric Cryptography
T1583.001	Acquire Infrastructure: Domains
T1583.002	Acquire Infrastructure: DNS Server
T1587.001	Develop Capabilities: Malware

IoC (侵害指標)

IoC	種類	説明
2632bcd0715a7223bda1779e107087964037039e1576d2175acaf61d3759360f	SHA256	C:\Windows\Temp\install.bat
ae989e25a50a6faa3c5c487083cdb250dde5f0ecc0c57b554ab77761bdaed996	SHA256	C:\Windows\Temp\install.bat
C:\Windows\Temp\install.bat	ファイルパス	ネットワークプロバイダーモジュールをインストールするスクリプト
c:/programdata/microsoft/~ntuserdata.msu	ファイルパス	盗んだユーザークレデンシャルを保存するファイル
c:/programdata/packag~1/windows 6.1-kb4537803.msu	ファイルパス	盗んだユーザークレデンシャルを保存するファイル
c:/programdata/package cache/windows10.0-kb5009543-x64.msu	ファイルパス	盗んだユーザークレデンシャルを保存するファイル
c:/programdata/package cache/windows10.0-kb5000736-x64.msu	ファイルパス	盗んだユーザークレデンシャルを保存するファイル
credman	ネットワークプロバイダー名	ネットワークプロバイダー名
HKLM\SYSTEM\CurrentControlSet\Services\credman	レジストリーキーのパス	ネットワークプロバイダーのレジストリーパス
c:\windows\system32\ntoskrnl.dll	ファイルパス	ネットワークプロバイダーモジュールのファイルパス
C:\Windows\Temp\ntos.dll	ファイルパス	DLL モジュールの一時保存に使うファイルパス
C:\Windows\Temp\ntoskrnl.dll	ファイルパス	DLL モジュールの一時保存に使うファイルパス
e30f8596f1beda8254cbe1ac7a75839f5fe6c332f45ebabff88aadbce3938a19	SHA256	Ntospy DLL モジュール
1a4301019bdf42e7b2df801e04066a738d184deb22afcad9542127b0a31d5cfa	SHA256	Ntospy DLL モジュール
e7682a61b6c5b0487593f880a09d6123f18f8c6da9c13ed43b43866960b7aa8e	SHA256	Ntospy DLL モジュール
58e87c0d9c9b190d1e6e44eae64e9a66de93d8de6cbd005e2562798462d05b45	SHA256	Ntospy DLL モジュール
7eb901a6dbf41bcb2e0cdcbb67c53ab722604d6c985317cb2b479f4c4de7cf90	SHA256	Ntospy DLL モジュール
f45ea12579f636026d29009190221864f432dbc3e26e73d8f3ab7835fa595b86	SHA256	Ntospy DLL モジュール
bcd2bdea2bfecd09e258b8777e3825c4a1d98af220e7b045ee7b6c30bf19d6df	SHA256	Ntospy DLL モジュール
C:\temp\update.exe	ファイルパス	Mimilite
1dsfjlosdf23dsfdfr	暗号化キー	Mimilite の復号キー
b855dfde7f778f99a3724802715a0baa	MD5	Mimilite のペイロードのハッシュ
4351911f266eea8e62da380151a54d5c3fbbc7b08502f28d3224f689f55bffba	SHA256	Agent Racoon
e0748ce315037253f278f7f8f2820c7dd8827a93b6d22d37dafc287c934083c4	SHA256	Agent Racoon
baed169ce874f6fe721e0d32128484b3048e9bf58b2c75db88d1a8b7d6bb938d	SHA256	Agent Racoon
3a2d0e5e4bfd6db9c45f094a638d1f1b9d07110b9f6eb8874b75d968401ad69c	SHA256	Agent Racoon
4351911f266eea8e62da380151a54d5c3fbbc7b08502f28d3224f689f55bffba	SHA256	Agent Racoon
354048e6006ec9625e3e5e3056790afe018e70da916c2c1a9cb4499f83888a47	SHA256	Agent Racoon
dee7321085737da53646b1f2d58838ece97c81e3f2319a29f7629d62395dbfd1	SHA256	Agent Racoon
geostatcdn[.]com	ドメイン	C2
telemetry.geostatcdn[.]com	ドメイン	C2
fdsb.telemetry.geostatcdn[.]com	ドメイン	C2
dlbh.telemetry.geostatcdn[.]com	ドメイン	C2
lc3w.telemetry.geostatcdn[.]com	ドメイン	C2
hfhs.telemetry.geostatcdn[.]com	ドメイン	C2
geoinfocdn[.]com	ドメイン	C2
telemetry.geoinfocdn[.]com	ドメイン	C2
g1sw.telemetry.geoinfocdn[.]com	ドメイン	C2
c:/windows/temp/onedriveupdater.exe	ファイルパス	Agent Racoon のパス
c:/windows/system32/msmdlb.exe	ファイルパス	Agent Racoon のパス
c:/windows/temp/onedriveupdater.exe	ファイルパス	Agent Racoon のパス
c:/program files (x86)/google/update/googleupdate.exe	ファイルパス	Agent Racoon のパス
c:\windows\temp\mslb.ps1	ファイルパス	Agent Racoon の展開に使うスクリプト
c:\windows\temp\set_time.bat	ファイルパス	追加ツールのタイムストンピング実行に使うスクリプト
c:\windows\temp\pscan.ps1	ファイルパス	ネットワークスキャンスクリプト
c:\windows\temp\crs.ps1	ファイルパス	ヘルパースクリプト
c:\windows\temp\usr.ps1	ファイルパス	ヘルパースクリプト
c:\windows\temp\pb.ps1	ファイルパス	ヘルパースクリプト
c:\windows\temp\ebat.bat	ファイルパス	ヘルパースクリプト
c:\windows\temp\pb1.ps1	ファイルパス	ヘルパースクリプト
c:\windows\temp\raren.exe	ファイルパス	コマンドラインの RAR
aabbcc123	パスワード	電子メールアーカイブの作成に使うパスワード
086a6618705223a8873448465717e288cf7cc6a3af4d9bf18ddd44df6f400488	SHA256	raren.exe のファイルハッシュ
P@ssw0rd1	パスワード	ユーザープロファイルディレクトリーの圧縮に使うパスワード
Assistance$	ユーザー名	永続化のために作成されるユーザー
Zaqwsx123	パスワード	永続化のために作成されるユーザー