サイバー犯罪とサイバースパイの両方を実行する特異な攻撃者「Asylum Ambuscade」を解説

主に個人や中小企業を標的としたサイバー犯罪組織Asylum Ambuscadeが、2022年初めに実施されたスパイ活動、そして2022年と2023年の複数のサイバー犯罪キャンペーンの詳細について解説します。

Asylum Ambuscadeは、主に個人や中小企業を標的としたサイバー犯罪組織ですが、サイバースパイ活動も同時に行っています。この組織の存在が明らかになったのは、ロシアとウクライナの戦争が始まってから数週間後の2022年3月でした。Proofpointの研究者が、ウクライナ難民の支援に携わっているヨーロッパ政府の職員を標的に攻撃していることを初めて公にしました。このブログでは、2022年初めに実施されたスパイ活動、そして2022年と2023年の複数のサイバー犯罪キャンペーンの詳細について解説します。

本ブログの要点

  • Asylum Ambuscadeは、少なくとも2020年から活動しています。
  • 北米や欧州などの多くの地域の銀行の顧客や仮想通貨トレーダーを標的にクライムウェアを展開しています。
  • Asylum Ambuscadeは、ヨーロッパと中央アジアの政府機関に対するスパイ活動も行っています。
  • 同グループが使用する攻撃ツール(インプラント)の多くは、AutoHotkey、JavaScript、Lua、Python、VBSなどのスクリプト言語で開発されています。

サイバースパイ活動

Asylum Ambuscadeは、少なくとも2020年以降、サイバースパイ活動を実施しています。ESETは、過去の攻撃で、中央アジア諸国やアルメニアの政府関係者や国有企業の従業員が標的になっていたことを特定しています。

Proofpointのレポートで公開されているように、同グループは2022年にウクライナと国境を接するヨーロッパ諸国の政府関係者を標的にしています。これらの攻撃者の目的は、政府機関のWebメールシステムから認証情報とWebメールの認証情報を窃取することだった考えられます。

一連の攻撃は、悪意のあるExcelスプレッドシートが添付されたスピアフィッシングメールが起点となっていました。悪意のあるVBAコードにより、リモートサーバーからMSIパッケージがダウンロードされ、Luaで記述されたダウンローダー「SunSeed」がインストールされます。

これらの攻撃では、いくつかの異なる添付ファイルが使用されていました。2022年6月には、同グループは悪意のあるVBAコードではなく、「Follina」と命名された脆弱性(CVE-2022-30190)を攻撃するエクスプロイトを使用しています。この攻撃で使用された文書を、図1に示します。この文書は、ウクライナ語で書かれており、Gamaredon(悪名高い別のサイバースパイ組織)による攻撃がウクライナで発生していると警告し、ユーザーの関心を引き付けています。

この攻撃者は、標的となったマシンが重要と判断すると、次のステージであるAHKBOTを展開します。これはAutoHotkeyで記述されたダウンローダーであり、同じくAutoHotkeyで記述されたプラグインを展開するものです。このプラグインの目的は、ユーザーのマシンをスパイすることです。このグループが使用しているツールセットを分析した結果は、ブログの後半に記載されています。

ASYLUM AMBUSCADEによるサイバー犯罪

Asylum Ambuscadeは、サイバースパイ活動によって衆目を集めることになりましたが、2020年の初めからは主にサイバー犯罪を行ってきました。

2022年1月以降、全世界で4,500人以上の犠牲者が出ています。犠牲者の多くは、図2に示すように、北米に集中していますが、アジア、アフリカ、ヨーロッパ、南米でも被害が確認されています。

標的は多岐にわたっており、個人、仮想通貨トレーダー、さまざまな業種の中小企業などが含まれます。

仮想通貨トレーダーが標的となっているのは、仮想通貨を窃取するためですが、Asylum Ambuscadeが中小企業を攻撃することでどのように収益を得ているかは、今のところわかっていません。同グループは、ランサムウェアを展開している他の犯罪組織などにアクセス情報を販売している可能性がありますが、これはESETのテレメトリ(監視データ)では確認されていません。

Asylum Ambuscadeがクライムウェアを展開するために実行している一連の攻撃は、全体として、ESETが調査して明らかにした同グループによるサイバースパイ活動の手法と多くの共通点があります。主な違いは、最初にセキュリティを侵害する方法であり、以下のような手法が利用されています。

  • 悪意のあるGoogle広告を表示し、クリックしたユーザーを悪意のあるJavaScriptファイルを配信するWebサイトにリダイレクトします。(この手法は、SANSのブログに記載されています)。
  • TDS(トラフィック配信システム)で、複数のHTTPリダイレクトを発生させます。同グループが使用するTDSは、Proofpointによって「404 TDS」と呼ばれています。Asylum AmbuscadeだけがTDSを利用しているわけではありません。例えば、Qbotを配信するために別のサイバー攻撃組織もTDSを使用していることが確認されています。urlscan.ioが示しているリダイレクトチェーンの例を、図3に示します。

このグループは、さまざまな方法で最初に標的を侵害していますが、さらにTclやVBSなどの他のスクリプト言語を使用してSunSeedと同等のダウンローダーを開発しています。2023年3月には、AHKBOTに相当するセカンドステージダウンローダーをNode.jsを使用して開発しています。ESETは、このダウンローダーを「NODEBOT」と命名しました。これらの変更を行った理由は、セキュリティ製品による検出を回避するためと考えられます。セキュリティを侵害する一連の攻撃の概要については、図4を参照してください。

攻撃の帰属

サイバースパイ活動とサイバー犯罪キャンペーンは、同じグループによって実施されているとESETは考えています。

  • セキュリティを侵害するための一連の攻撃は、すべてのキャンペーンでほぼ同じです。特に、SunSeedとAHKBOTは、サイバー犯罪とサイバースパイ活動の両方で広く利用されています。
  • SunSeedとAHKBOTは地下市場では販売されていないとESETは考えています。これらのツールは、販売されている他のクライムウェアツールと比べると洗練されておらず、被害者の数も非常に少なくなっています。このツールセットは、いくつかのグループが使用しているだけであり、これらのキャンペーン全体でも同じネットワークインフラが使用されています。

これらの背景から、Asylum Ambuscadeは、サイバースパイ活動も同時に行っている、サイバー犯罪組織と考えられます。

また、以下の3つの記事は、いずれも同グループが実行したインシデントであるとESETは考えています。

ツールセット

悪意のあるJavaScriptファイル

同グループが実施する多くのクライムウェアキャンペーンでは、侵害の方法として悪意のある文書ではなく、TDSからダウンロードされるJavaScriptファイルが使用されています。このJavaScriptファイルは被害者に手動で実行させる必要があるため、この攻撃者はDocument_12_dec-1532825.js、TeamViewer_Setup.js、AnyDeskInstall.jsなど、ユーザーの関心の引きやすいファイル名にしてクリックさせようとしています。

これらのスクリプトは、ランダムな変数名とジャンクコードを使用して難読化されていますが、これは検出を回避することを目的としていると考えられます。難読化の例を図5に示します。

難読化を解除すると、このスクリプトは以下の2行にまとめることができます。

ファーストステージのダウンローダー

ファーストステージのダウンローダーは、悪意のある文書またはJavaScriptファイルのいずれかによってダウンロードされたMSIパッケージによってドロップされます。このダウンローダーには、以下の3つのバージョンがあります。

  • Lua(SunSeed)
  • Tcl
  • VBS

SunSeedはLua言語で記述されたダウンローダーで、図6に示すように、多くの部分が難読化されています。

難読化を手動で解除すると、スクリプトの主な関数は次のようになっています。

C:ドライブのシリアル番号を取得し、User-Agent LuaSocket 2.0.2を使用して http://<c&c>/<serial_number>にGETリクエストを送信します。その後で、返信します。これは、SunSeedがC&Cサーバーから追加のLuaスクリプトを受け取ることを目的としています。ESETは、installとmoveの2つの追加のスクリプトを発見しています。</serial_number></c&c>

installは、図7に示すように、AutoHotkeyスクリプトを C:\ProgramData\mscoree.ahkに 、正規のAutoHotkeyインタプリタをC:\ProgramData\mscoree.exeにダウンロードする簡易なLuaスクリプトです。このAutoHotkeyスクリプトは、セカンドステージダウンローダーであるAHKBOTです。

move(図8)は、さらにシンプルなLuaスクリプトです。攻撃したコンピュータを管理するC&Cサーバーを別のサーバーに切り替えるために使用されます。ハードコードされているSunSeedのC&Cサーバーは更新できません。そのため、C&Cを切り替えるには、マシンのセキュリティを最初に侵害したときと同じように、新しいMSIインストーラーをダウンロードし、実行しなければなりません。

ESETは、Luaの代わりにTcl言語を使用して開発されたSunSeedの別の亜種を発見しています(図9を参照)。この亜種の主な違いは、GETリクエストでC:ドライブのシリアル番号を送信していないことです。

第3の亜種は、図10に示しているように、VBSで開発されています。主な違いは、追加のコードをダウンロードして読み取るのではなく、MSIパッケージをダウンロードして実行することです。

セカンドステージのダウンローダー

メインのセカンドステージダウンローダーは、AutoHotkeyで開発されたAHKBOTです。図11に示すように、User-Agent AutoHotkey (AutoHotkeyが使用するデフォルト値)で、http://<C&C>/<serial_number_of_C_drive>-RPにGETリクエストを送信します。その後の処理は、SunSeedとほぼ同じです。RPは、検体によって変わっているため、キャンペーンのIDである可能性があります。

AHKBOTは、C:\ProgramData\mscoree.ahkやC:\ProgramData\adb.ahkなどのディスクのさまざまな場所で見つかっています。同じくAutoHotkeyで開発されたスパイ用のプラグインをダウンロードし、読み取ります。21個のプラグインの概要を表 1に示します。

プラグイン名説明
assVMProtectでパッキングされたCobalt Strikeローダーをダウンロードして実行します。CobaltStrikeParserツールを使用して抽出したビーコンの設定は、Cobalt Strikeの構成 セクションのIoCに示しています。
connectログメッセージconnected!をC&Cサーバーに送信します。
deletecookiesC&CサーバーからHTTP経由(/download?path=sqlite3slashsqlite3dotdll)でSQLiteをダウンロードし、td.com(カナダの銀行)とmail.ruドメインのブラウザCookieを削除します。攻撃者がこれらのドメインのCookieを削除しようとしている理由は不明ですが、セッションCookieを削除し、ユーザーに認証情報を再入力させて、キーロガーによってそれらの認証情報を窃取しようとしている可能性があります。
deskscreenGdip.BitmapFromScreenを使用してスクリーンショットを取得して、C&Cサーバーに送信します。
deskscreenondeskscreenと似たような機能ですが、15秒間おきにスクリーンショットを取得します。
deskscreenoffdeskscreenonによるスクリーンショットの取得を停止します。
domain以下のコマンドを使用して、Active Directoryに関する情報を収集します。

  • cmd /c chcp 65001 && net group "domain admins" /domain
  • cmd /c chcp 65001 && net group "enterprise admins" /domain
  • cmd /c chcp 65001 && net group ""Domain Computers"" /domain
  • cmd /c chcp 65001 && nltest /dclist:
  • cmd /c chcp 65001 && nltest /DOMAIN_TRUSTS
  • cmd /c chcp 65001 && ipconfig /all
  • cmd /c chcp 65001 && systeminfo
hardwareWMIクエリを使用して被害者のホスト情報を取得します。

  • Select * from Win32_OperatingSystem
  • SELECT * FROM Win32_LogicalDisk
  • SELECT * FROM Win32_Processor
  • Select * from Win32_OperatingSystem
  • SELECT * FROM Win32_VideoController
  • Select * from Win32_NetworkAdapterConfiguration WHERE IPEnabled = True
  • Select * from FirewallProduct
  • Select * from AntiSpywareProduct
  • Select * from AntiVirusProduct
  • SELECT * FROM Win32_Product
  • SELECT Caption,ExecutablePath,ProcessID FROM Win32_Process where ExecutablePath is not null

次に収集した情報をC&Cサーバーに送信します。

hvnconhttp:///download?path=hvncslashhvncdotzipから独自の遠隔操作ツール「Hidden VNC」(hVNC)アプリケーションをダウンロードし、実行します。
hvncofftaskkill /f /im hvnc.exeを実行して、hVNCを停止します。
installchromeGoogle Chromeの正規のコピーhttp:///download?path=chromeslashchromedotzipをダウンロードして、%LocalAppData%\Google\Chrome\Applicationフォルダに解凍します。被害者がChromeをインストールしていない場合に、ChromeのこのコピーがhVNCによって使用されると考えられます。
keylogonキーロガーを起動し、DllCall("SetWindowsHookEx", […])を使用して、入力された内容をフック(横取り)します。ユーザーが使用するアプリケーションが変更されるときに、入力内容がC&Cサーバーに送信されます。
keylogoffキーロガーを停止します。
passwordsInternet Explorer、Firefox、Chromiumベースのブラウザからパスワードを窃取します。SQLiteをダウンロードして、ブラウザのストレージを読み取ります。また、MicrosoftのCryptUnprotectData関数を呼び出して、暗号化されたパスワードをローカルで復号化できます。盗まれたパスワードはC&Cサーバーに送信されます。
このプラグインは、デバッグに使用されているハードドライブのシリアル番号(605109072と2786990575)など、2020年にトレンドマイクロが説明したパスワード窃取ツールと酷似しています。このため、現在も同じマシンでプラグインが開発されている可能性があります。
rutservonhttp:///download?path=rutservslashagent6dot10dotexeからリモートアクセスのためのトロイの木馬(RAT)をダウンロードします(SHA-1:3AA8A4554B175DB9DA5EEB7824B5C047638A6A9D)。
これは、Remote Utilities LLCが開発した商用のRATで、インストールすると、そのマシンを完全に制御できます。
rutservoffRATを停止します。
steal情報窃取ツールをダウンロードし実行します。このツールは、Rhadamanthysをベースとしている可能性があります。
tasklistWMIクエリSelect * from Win32_Processを使用して、実行中のプロセスを一覧表示します。
towakeMouseMove, 100, 100コマンドを使用して、マウスを移動します。これは、プラグインの名前から推測できるように、コンピュータがスリープ状態になるのを妨げるために使用されていると考えられます。
updateC&CサーバーからSunSeed AutoHotkeyの新バージョンをダウンロードし、ディスクにあるSunSeedを置換します。AutoHotkeyインタプリタは、C:\ProgramData\adb.exeに配置されます。
wndlistWinGet windows, List(Autohotkeyの構文)を呼び出して、アクティブなウィンドウを一覧表示します。

表1. SunSeedのプラグイン

このプラグインは、図12に示すように、ログ関数を使用して結果をC&Cサーバーに返送します。

2023年3月に、この攻撃者はAHKBOTの亜種をNode.jsで開発しています。ESETは、この亜種をNODEBOTと命名しました(図13を参照)。

また、攻撃者はAHKBOTプラグインの一部をJavaScriptで書き換え、NODEBOTと互換性を持たせています。これまでに、ESETは、以下のプラグインを確認しています(アスタリスクはNODEBOTで新しく導入されたプラグインを示します)。

  • connect
  • deskscreen
  • hardware
  • hcmdon(Node.jsのリバースシェル)*
  • hvncoff
  • hvncon
  • keylogoff
  • keylogon(AutoHotkeyキーロガーをダウンロードして実行します)
  • mods(hVNCをダウンロードしてインストールします)*
  • passwords
  • screen

結論

Asylum Ambuscadeは、主に北米と欧州の中小企業や個人を標的としているサイバー犯罪組織ですが、最近では、中央アジアやヨーロッパの政府機関に対して、サイバースパイ活動を展開するなど、活動範囲を広げています。

サイバースパイ活動を専門とするサイバー犯罪組織は非常に少なく、セキュリティ研究者はAsylum Ambuscadeの活動を注意深く追跡する必要があります。

IOC(セキュリティ侵害の痕跡)

ファイル

SHA-1ファイル名ESETの検出名説明
2B42FD41A1C8AC12221857DD2DF93164A71B95D7ass.dllWin64/Packed.VMProtect.OXCobalt Strikeローダー。
D5F8ACAD643EE8E1D33D184DAEA0C8EA8E7FD6F8M_suri antiinfla_ioniste Polonia.docDOC/TrojanDownloader.Agent.AAPFollinaの脆弱性を攻撃する文章。
57157C5D3C1BB3EB3E86B24B1F4240C867A5E94FN/AWin32/TrojanDownloader.AutoHK.KHAHKBOT。
7DB446B95D5198330B2B25E4BA6429C57942CFC9N/AVBS/Agent.QOFPythonで記述されたスクリーンショット取得ツール
5F67279C195F5E8A35A24CBEA76E25BAD6AB6E8EN/AVBS/TrojanDownloader.Agent.YDQVBSダウンローダー。
C98061592DE61E34DA280AB179465580947890DEinstall.msiJS/Agent.QRINODEBOT。
519E388182DE055902C656B2D95CCF265A96CEABDocument_12_dec-1532825.jsJS/TrojanDownloader.Agent.ZJMTDSから配信される悪意のあるJavaScriptファイル。
AC3AFD14AD1AEA9E77A84C84022B4022DF1FC88BahkWin32/Spy.AHK.ADAHKBOTのプラグイン。
64F5AC9F0C6C12F2A48A1CB941847B0662734FBFassWin32/TrojanDownloader.AHK.NAHKBOTのプラグイン。
557C5150A44F607EC4E7F4D0C0ED8EE6E9D12ADFconnectWin32/Spy.AHK.ADAHKBOTのプラグイン。
F85B82805C6204F34DB0858E2F04DA9F620A0277deletecookiesWin32/Spy.AHK.ADAHKBOTのプラグイン。
5492061DE582E71B2A5DA046536D4150F6F497F1deskscreenWin32/Spy.AHK.ADAHKBOTのプラグイン。
C554100C15ED3617EBFAAB00C983CED5FEC5DB11deskscreenoffWin32/Spy.AHK.ADAHKBOTのプラグイン。
AD8143DE4FC609608D8925478FD8EA3CD9A37C5DdeskscreenonWin32/Spy.AHK.ADAHKBOTのプラグイン。
F2948C27F044FC6FB4849332657801F78C0F7D5EdomainWin32/TrojanDownloader.AutoHK.KHAHKBOTのプラグイン。
7AA23E871E796F89C465537E6ECE962412CDA636hardwareWin32/Spy.AHK.ADAHKBOTのプラグイン。
384961E19624437EB4EB22B1BF45953D7147FB8FhvncoffWin32/Spy.AHK.ADAHKBOTのプラグイン。
7FDB9A73B3F13DBD94D392132D896A5328DACA59hvnconWin32/Spy.AHK.ADAHKBOTのプラグイン。
3E38D54CC55A48A3377A7E6A0800B09F2E281978installchromeWin32/Spy.AHK.ADAHKBOTのプラグイン。
7F8742778FC848A6FBCFFEC9011B477402544171keylogoffWin32/Spy.AHK.ADAHKBOTのプラグイン。
29604997030752919EA42B6D6CEE8D3AE28F527EkeylogonWin32/Spy.AHK.ADAHKBOTのプラグイン。
7A78AF75841C2A8D8A5929C214F08EB92739E9CBpasswordsWin32/Spy.AHK.ABAHKBOTのプラグイン。
441369397D0F8DB755282739A05CB4CF52113C40rutservoffWin32/Spy.AHK.ADAHKBOTのプラグイン。
117ECFA95BE19D5CF135A27AED786C98EC8CE50BrutservonWin32/Spy.AHK.ADAHKBOTのプラグイン。
D24A9C8A57C08D668F7D4A5B96FB7B5BA89D74C3stealWin32/Spy.AHK.AEAHKBOTのプラグイン。
95EDC096000C5B8DA7C8F93867F736928EA32575towakeWin32/Spy.AHK.ADAHKBOTのプラグイン。
62FA77DAEF21772D599F2DC17DBBA0906B51F2D9updateWin32/Spy.AHK.ADAHKBOTのプラグイン。
A9E3ACFE029E3A80372C0BB6B7C500531D09EDBEwndlistWin32/Spy.AHK.ADAHKBOTのプラグイン。
EE1CFEDD75CBA9028904C759740725E855AA46B5tasklistWin32/Spy.AHK.ADAHKBOTのプラグイン。

ネットワーク

IPドメインホスティングプロバイダー最初に確認された日付詳細
5.39.222[.]150N/AHostkey_NL abuse、ORG-HB14-RIPE2022-02-27C&Cサーバー。
5.44.42[.]27snowzet[.]com GLOBAL INTERNET SOLUTIONS LLC2022-12-07Cobalt StrikeのC&Cサーバー。
5.230.68[.]137N/AGHOSTnet GmbH2022-09-05C&Cサーバー。
5.230.71[.]166N/AGHOSTnet GmbH2022-08-17C&Cサーバー。
5.230.72[.]38N/AGHOSTnet GmbH2022-09-24C&Cサーバー。
5.230.72[.]148N/AGHOSTnet GmbH2022-09-26C&Cサーバー。
5.230.73[.]57N/AGHOSTnet GmbH2022-08-09C&Cサーバー。
5.230.73[.]63N/AGHOSTnet GmbH2022-06-02C&Cサーバー。
5.230.73[.]241N/AGHOSTnet GmbH2022-08-20C&Cサーバー。
5.230.73[.]247N/AGHOSTnet GmbH2022-08-09C&Cサーバー。
5.230.73[.]248N/AGHOSTnet GmbH2022-06-01C&Cサーバー。
5.230.73[.]250N/AGHOSTnet GmbH2022-06-02C&Cサーバー。
5.252.118[.]132N/Aaezagroup2023-03-01C&Cサーバー。
5.252.118[.]204N/Aaezagroup2023-03-01C&Cサーバー。
5.255.88[.]222N/AServerius 2022-05-28C&Cサーバー。
23.106.123[.]119N/AIRT-LSW-SG2022-02-04C&Cサーバー。
31.192.105[.]28N/AHOSTKEY B.V.2022-02-23C&Cサーバー。
45.76.211[.]131N/AThe Constant Company, LLC2023-01-19C&Cサーバー。
45.77.185[.]151N/AVultr Holdings, LLC2022-12-16C&Cサーバー。
45.132.1[.]238N/AMiglovets Egor Andreevich2022-11-07C&Cサーバー。
45.147.229[.]20N/ACOMBAHTON2022-01-22C&Cサーバー。
46.17.98[.]190N/AHostkey_NL abuse、ORG-HB14-RIPE2020-08-31C&Cサーバー。
46.151.24[.]197N/AHosting technology LTD2023-01-01C&Cサーバー。
46.151.24[.]226N/AHosting technology LTD2022-12-23C&Cサーバー。
46.151.25[.]15N/AHosting technology LTD2022-12-27C&Cサーバー。
46.151.25[.]49N/APodolsk Electrosvyaz Ltd.2022-12-29C&Cサーバー。
46.151.28[.]18N/AHosting technology LTD2023-01-01&Cサーバー。
51.83.182[.]153N/AOVH2022-03-08C&Cサーバー。
51.83.189[.]185N/AOVH2022-03-05C&Cサーバー。
62.84.99[.]195N/AVDSINA-NL2023-03-27C&Cサーバー。
62.204.41[.]171N/AHORIZONMSK-AS2022-12-12C&Cサーバー。
77.83.197[.]138N/AHZ-UK-AS2022-03-07C&Cサーバー。
79.137.196[.]121N/AAEZA GROUP Ltd.2023-03-01C&Cサーバー。
79.137.197[.]187N/Aaezagroup2022-12-01C&Cサーバー。
80.66.88[.]155N/Axhost internet solutions lp2022-02-24C&Cサーバー。
84.32.188[.]29N/AUAB Cherry Servers2022-01-10C&Cサーバー。
84.32.188[.]96N/AUAB Cherry Servers2022-01-29C&Cサーバー。
85.192.49[.]106N/AHosting technology LTD2022-12-25C&Cサーバー。
85.192.63[.]13N/AAEZA GROUP Ltd.2022-12-27C&Cサーバー。
85.192.63[.]126N/Aaezagroup2023-03-05C&Cサーバー。
85.239.60[.]40N/AClouvider2022-04-30C&Cサーバー。
88.210.10[.]62N/AHosting technology LTD2022-12-12C&Cサーバー。
89.41.182[.]94N/AAbuse-C Role、ORG-HS136-RIPE2021-09-03C&Cサーバー。
89.107.10[.]7N/AMiglovets Egor Andreevich2022-12-04C&Cサーバー。
89.208.105[.]255N/AAEZA GROUP Ltd.2022-12-22C&Cサーバー。
91.245.253[.]112N/AM247 Europe2022-03-04C&Cサーバー。
94.103.83[.]46N/AHosting technology LTD2022-12-11C&Cサーバー。
94.140.114[.]133N/ANANO-AS2022-03-08C&Cサーバー。
94.140.114[.]230N/ANANO-AS2022-04-13C&Cサーバー。
94.140.115[.]44N/ANANO-AS2022-04-01C&Cサーバー。
94.232.41[.]96N/Axhost internet solutions lp2022-10-02C&Cサーバー。
94.232.41[.]108N/Axhost internet solutions lp2022-08-19C&Cサーバー。
94.232.43[.]214N/AXHOST-INTERNET-SOLUTIONS2022-10-10C&Cサーバー。
98.142.251[.]26N/ABlueVPS OU2022-04-29C&Cサーバー。
98.142.251[.]226N/ABlueVPS OU2022-04-12C&Cサーバー。
104.234.118[.]163N/AIPXO LLC2023-03-01C&Cサーバー。
104.248.149[.]122N/ADigitalOcean, LLC2022-12-11C&Cサーバー。
109.107.173[.]72N/AHosting technology LTD2023-01-20C&Cサーバー。
116.203.252[.]67N/AHetzner Online GmbH - Contact Role、ORG-HOA1-RIPE2022-03-05C&Cサーバー。
128.199.82[.]141N/ADigital Ocean2022-12-11C&Cサーバー。
139.162.116[.]148N/AAkamai Connected Cloud2022-03-03C&Cサーバー。
141.105.64[.]121N/AHOSTKEY B.V.2022-03-21C&Cサーバー。
146.0.77[.]15N/AHostkey_NL 2022-04-10C&Cサーバー。
146.70.79[.]117N/AM247 Ltd.2022-03-02C&Cサーバー。
157.254.194[.]225N/ATier.Net Technologies LLC2023-03-01C&Cサーバー。
157.254.194[.]238N/ATier.Net Technologies LLC2023-03-13C&Cサーバー。
172.64.80[.]1namesilo.my[.]id Cloudflare, Inc.2022-12-14C&Cサーバー。
172.86.75[.]49N/ABL Networks2021-05-17C&Cサーバー。
172.104.94[.]104N/ALinode2022-03-05C&Cサーバー。
172.105.235[.]94N/ALinode2022-04-05C&Cサーバー。
172.105.253[.]139N/AAkamai Connected Cloud2022-03-03C&Cサーバー。
176.124.214[.]229N/AVDSINA-NL2022-12-26C&Cサーバー。
176.124.217[.]20N/AHosting technology LTD2023-03-02C&Cサーバー。
185.70.184[.]44N/AHostkey_NL 2021-04-12C&Cサーバー。
185.82.126[.]133N/ASia Nano IT2022-03-12C&Cサーバー。
185.123.53[.]49N/ABV-EU-AS2022-03-14C&Cサーバー。
185.150.117[.]122N/AUAB Cherry Servers2021-04-02C&Cサーバー。
185.163.45[.]221N/AMivoCloud SRL2023-01-02C&Cサーバー。
193.109.69[.]52N/AHostkey_NL 2021-11-05C&Cサーバー。
193.142.59[.]152N/AHostShield LTD Admin2022-11-17C&Cサーバー。
193.142.59[.]169N/AColocationX Ltd.2022-11-08C&Cサーバー。
194.180.174[.]51N/AMivoCloud SRL2022-12-24C&Cサーバー。
195.2.81[.]70N/AHosting technology LTD2022-09-27C&Cサーバー。
195.133.196[.]230N/AJSC Mediasoft ekspert2022-07-15C&Cサーバー。
212.113.106[.]27N/AAEZA GROUP Ltd.2023-01-28C&Cサーバー。
212.113.116[.]147N/AJY Mobile Communications2023-03-01C&Cサーバー。
212.118.43[.]231N/AHosting technology LTD2023-03-01C&Cサーバー。
213.109.192[.]230N/ABV-EU-AS2022-06-01C&Cサーバー。

Cobalt Strikeの構成

ネットワーク

MITRE ATT&CKの技術

この表は、エンタープライズに対する攻撃手法をまとめたMITRE ATT&CKフレームワークのバージョン13を使用して作成されています。

手法ID名前説明
リソース開発T1583.003インフラストラクチャの取得:仮想プライベートサーバー Asylum Ambuscadeは、VPSサーバーをレンタルしています。
T1587.001能力の開発マルウェア Asylum Ambuscadeは、さまざまなスクリプト言語で独自の攻撃ツール(インプラント)を開発しています。
初期アクセスT1189Web閲覧による感染 標的となったユーザーはTDSを介して、悪意のあるJavaScriptファイルを配信するWebサイトにリダイレクトされます。
T1566.001フィッシング:スピアフィッシングの添付ファイル 悪意のあるExcelやWordの文書が標的ユーザーに配信されます。
実行T1059.005コマンドおよびスクリプトインタプリタ:Visual BasicAsylum Ambuscadeは、VBSで記述されたダウンローダーを使用します。
T1059.006コマンドおよびスクリプトインタプリタ:PythonAsylum Ambuscadeは、Pythonで記述されたスクリーンショット取得ツールを使用します。
T1059.007コマンドおよびスクリプトインタプリタ:JavaScriptAsylum Ambuscadeでは、JavaScriptで記述されたダウンローダー(NODEBOT)を使用します。
T1059コマンドおよびスクリプトインタプリタ Asylum Ambuscadeは、Lua、AutoHotkey、Tclなどのスクリプト言語で記述されたダウンローダーを使用します。
T1204.002ユーザーによる実行:悪意のあるファイル 標的のユーザーは、悪意のある文書やJavaScriptファイルを手動で実行する必要があります。
常駐化T1547.001ブートまたはログオン自動起動:Runレジストリキーやスタートアップフォルダの悪用 SunSeedは、スタートアップフォルダにLNKファイルを展開して常駐します。
防衛機能の回避T1027.010ファイルや情報の難読化:コマンドの難読化 ダウンロードしたJavaScriptファイルは、ジャンクコードで難読化されています。
認証情報へのアクセスT1555.003パスワードの保管場所からの認証情報の窃取:Webブラウザからの認証情報の窃取 AHKBOTのpasswordsプラグインは、ブラウザの認証情報を窃取します。
検出T1087.002アカウント情報の探索ドメインアカウント AHKBOTのdomainプラグインは、net groupを使用してドメイン情報を収集します。
T1010実行されているアプリケーションの検出 AHKBOTのwndlistプラグインは、アクティブなウィンドウを一覧表示します。
T1482ドメイン信頼の探索 AHKBOTのdomainプラグインは、nltestを使用して情報を収集します。
T1057プロセスの検出 AHKBOTの tasklistプラグインは、Select * from Win32_Processを使用してアクティブなプロセスを一覧表示します。
T1518.001ソフトウェアの検出:セキュリティソフトウェアの検出 AHKBOTのhardwareプラグインは、Select * from FirewallProduct、Select * from AntiSpywareProduct、およびSelect * from AntiVirusProductを使用してセキュリティソフトウェアを一覧表示します。
T1082システム情報の検出 AHKBOTのwndlistプラグインは、systeminfoを使用してシステム情報を取得します。
T1016システムネットワーク構成の検出 AHKBOTのwndlistプラグインは、ipconfig /allを使用して、ネットワーク構成情報を取得します。
収集T1056.001入力情報の取得:キーロギング AHKBOTのkeylogonはキーボードで入力された内容を記録します。
T1115クリップボードのデータ AHKBOTのkeylogonは、クリップボードを監視します。
T1113画面キャプチャ AHKBOTのdeskscreenは、スクリーンショットを取得します。
C&C(コマンド&コントロール)T1071.001アプリケーションレイヤープロトコル:Webプロトコル AHKBOT(および他のすべてのダウンローダー)は、HTTPを介してC&Cサーバーと通信します。
情報の外部への送信T1041C&Cチャネルからの送信 C&Cチャネルからデータを外部に送信します。