AKAIRYŪ(赤い龍)作戦:MIRRORFACE、EXPO 2025大阪・関西万博に便乗して欧州の外交機関を攻撃
MirrorFace(ミラーフェイス)は、通常日本を標的として活動していますが、ESETの研究者は、これまでとは異なり中欧の外交機関を標的にした攻撃を発見し、ANELバックドアを使用していることを特定しました。
Dominik Breitenbacher 2 Apr 2025
2024年8月、ESETの研究者は、中国とつながりのあるAPT(持続的標的型攻撃)グループ「MirrorFace(ミラーフェイス)」が、中欧の外交機関に対してEXPO 2025大阪・関西万博に便乗して実行したサイバースパイ活動を検知しました。
MirrorFace(ESETが命名)は、主に日本の組織に対するサイバースパイ活動を行っており、ヨーロッパの組織への侵入を狙った攻撃が検知されたのはESETが知る限り今回が初めてです。ESETは、このキャンペーンを2024年の第2四半期と第3四半期に特定し、「AkaiRyū(赤い龍)作戦」と命名しました。キャンペーンでは、2024年を通じて観察された新たな戦術、手法、手順(TTP)が使用されています。具体的には、カスタマイズされたAsyncRATなどの新しいツールの導入、ANELバックドアの再利用、そして複雑化した実行チェーンが確認されています。
このブログでは、AkaiRyū作戦による攻撃の詳細と、フォレンジック分析データを交えながら、外交機関を標的としたこのインシデントの調査結果をお伝えします。ESETは、2025年1月に開催されたJSAC(Joint Security Analyst Conference)でこの分析結果を発表しました。
本ブログの要点:
- MirrorFaceは、TTPとツールを刷新しています。
- MirrorFaceは、以前はAPT10のみが使用していたバックドアであるANELを使い始めました。
- MirrorFaceは、Windowsのサンドボックス内でマルウェアを実行するために複雑な実行チェーンを使用し、AsyncRATの高度にカスタマイズされた亜種の展開を開始しています。
- ESETが知る限り、MirrorFaceがヨーロッパの組織を標的にしたのは今回が初めてです。
- ESETは被害を受けた中欧の外交機関と連携し、フォレンジック調査を実施しました。
- この調査から得られた情報により、MirrorFaceの侵害後の活動に対する洞察が深まりました。
MirrorFaceのプロフィール
MirrorFace(別名:Earth Kasha)は中国とつながりのあるサイバー攻撃グループです。これまで、主に日本国内の企業や組織のみを標的としてきましたが、日本と関係のある他国の企業や組織も標的にしています。このブログで説明しているように、ESETは現在、MirrorFaceをAPT10傘下のグループと考えています。MirrorFaceは少なくとも2019年から活動しており、メディア、防衛関連企業、シンクタンク、外交機関、金融機関、学術機関、製造業者などを標的にしていると報告されています。ESETは2022年に日本の政治団体を標的にしたMirrorFaceのスピアフィッシングキャンペーンを発見しました。
MirrorFaceは、スパイ活動やこのグループがターゲットにしているファイルの流出に重点を置いており、LODEINFOおよびHiddenFaceのバックドアを使用する唯一のグループです。このブログで分析した2024年のMirrorFaceの活動では、APT10が専用していたバックドア「ANEL」も攻撃に利用され始めています。
概要
これまでのMirrorFaceの攻撃と同様に、AkaiRyū作戦も、受信者が悪意のある添付ファイルを開くよう巧妙に誘導するスピアフィッシングメールから始まっています。ESETの調査結果から、同グループが日本以外の国にも進出していることが確認されましたが、依然として日本のイベントや地政学に強い関心を抱いていることが分かります。しかし、MirrorFaceが日本の国外で活動することが報じられたのはこれが初めてではありません。Trend Microとベトナム国家サイバーセキュリティセンター(ベトナム語の文書)は、台湾、インド、ベトナムにおける同様のケースを報告しています。
ANELの復活
AkaiRyū作戦を分析する中で、MirrorFaceがTTPとツールを大幅に刷新したことが明らかになりました。MirrorFaceは、APT10のみが使用していると考えられているバックドア「ANEL」(別名:UPPERCUT)を使い始めています。ANELは2018年の終わりか2019年の初め頃に使用されなくなり、LODEINFOがその後継として2019年の後半に登場したと考えられていたため、これは驚くべきことです。2018年と2024年のANELのバージョン番号(5.5.0と5.5.4)がわずかに違っていることと、APT10が以前は数か月ごとにANELを更新していた事実から、ANELの開発が再開された可能性が高いと考えられます。
MirrorFaceとAPT10とのつながりについては今も議論が続いていますが、ANELの使用は、この関係性を裏付けるさらなる証拠となります。MirrorFaceがANELを使い始めたことや、標的やマルウェアコードの類似点など、これまでに知られていたその他の情報を基に、ESETはこの攻撃グループの帰属に関する認識を改め、MirrorFaceがAPT10傘下のグループであると考えています。この帰属の認識の変更により、Macnica(日本語のレポート)、Kaspersky、伊藤忠サイバー&インテリジェンス、Cybereasonなど、すでにMirrorFaceをAPT10関連の組織と見なしている他の研究者たちの見解とESETの考えが一致するようになりました。また、Trend Microなどの他の組織は、MirrorFaceがAPT10と関連している可能性があるという認識にとどめています。
MirrorFaceが初めてAsyncRATとVisual Studio Codeを使用
2024年、MirrorFaceはAsyncRATを高度にカスタマイズした亜種も展開しています。このマルウェアは新たに観測された複雑な実行チェーンに埋め込まれており、Windowsサンドボックス内でRATが実行されます。この手法は、悪意のある活動をセキュリティ管理ツールから効果的に隠し、侵害の検知を回避します。
このマルウェアに加えて、MirrorFaceはVisual Studio Code(VS Code)のリモートトンネル機能を悪用するため、同ツールの展開も開始しました。MirrorFaceは、リモートトンネルによって侵害したマシンに秘密裏にアクセスできるようになり、任意のコードを実行し、他のツールを配信できます。VSコードを悪用するAPTグループはMirrorFaceだけではありません。Tropic TrooperとMustang Pandaも攻撃で使用していることが報告されています。
さらに、MirrorFaceは現在の主力バックドアであるHiddenFaceを今も使用しており、侵害したマシンでの常駐機能を一層強化しています。MirrorFaceは、標的を侵害した直後に初期段階のバックドアとしてANELを使用し、その後、攻撃の後期にはHiddenFaceを展開します。また、MirrorFaceだけが使用していたもう1つのバックドア「LODEINFO」の使用が、2024年には観察されなかったことにも注意が必要です。
侵害のフォレンジック分析
ESETは、被害を受けた機関に連絡し、攻撃を受けていることを通知するとともに、迅速に侵害を排除するように求めました。この機関は、攻撃中および攻撃後もESETと緊密に連携し、侵害されたマシンのディスクイメージも提供しました。これにより、これらのイメージに対してフォレンジック分析を行い、MirrorFaceの活動の詳細を特定することができました。
ESETは、2024年9月4日にESET脅威インテリジェンスの顧客に、ANELの復活について技術的に分析したさらに詳細な情報を提供しました。Trend Microは、2024年10月21日に日本語で、2024年11月26日に英語で、MirrorFaceの最近の活動に関する調査結果を公開しました。この調査結果ではAkaiRyū作戦やANELバックドアの復活についても言及しています。さらに2025年1月、日本の警察庁は、日本の組織、企業、個人に対して、MirrorFaceの活動について警告を発しました。AkaiRyū作戦は、警察庁からの警告(日本版)にある「キャンペーンC」に相当します。しかし、警察庁は、日本の組織や個人、特に学術、シンクタンク、政治、メディアに関連する団体のみをMirrorFaceが標的にしていると言及しています。
Trend Microのレポートと警察庁の警告に加え、被害を受けた組織との緊密な連携を通じて観察されたMirrorFaceの侵害後の活動について、ESET独自の分析を以下に示します。これらの内容には、高度にカスタマイズされたAsyncRATの展開、VS Codeリモートトンネルの悪用、そして検出を回避し実行したアクションを隠蔽するためにWindowsサンドボックス内でマルウェアを実行する実行チェーンの詳細が含まれています。
このブログでは、中欧の外交機関と日本の研究機関の2つの異なるケースについて取り上げます。MirrorFaceの全体的なアプローチはどちらも同じですが、初期アクセスのプロセスに大きな違いがあるため、両方のケースについて取り上げます。
技術的な分析
2024年6月から9月にかけて、ESETはMirrorFaceが複数のスピアフィッシングキャンペーンを実施していることを確認しました。ESETのデータによると、MirrorFaceは主に、標的を騙して悪意のある添付ファイルやリンクを開かせることで初期アクセスを獲得し、その後、正規のアプリケーションやツールを利用してマルウェアを密かにインストールしています。
初期アクセス
2024年に観測されたすべてのケースで、最初の攻撃ベクトルを特定することはできませんでした。しかし、入手できたデータから、MirrorFaceが使用した唯一の攻撃ベクトルはスピアフィッシングであると推測されます。MirrorFaceは、信頼できる組織や個人になりすまし、メールの受信者にドキュメントを開かせたりリンクをクリックさせたりしています。初期アクセスに関する以下の調査結果は、Trend Microの記事と一致していますが、完全には同じではありません。
特にMirrorFaceは、AkaiRyū作戦においてMcAfeeが開発したアプリケーションとJustSystemsが開発したアプリケーションの両方を悪用して、ANELを実行しています。Trend Microは、Windows Management Instrumentation(WMI)とexplorer.exeをANELの実行プロキシの組み合わせとして報告していますが、ESETはWMIとwlrmdr.exe(Windowsログインリマインダー)の別の組み合わせを発見しました。また、MirrorFaceのオペレーターがなりすまして標的とやり取りしたメールもこのブログで提供します。
事例1:日本の調査機関
2024年6月20日、MirrorFaceは日本の調査機関に所属する2人の従業員を標的に、パスワードで保護された悪意のあるWord文書を配信しました。この文書がどのように配信されたかは不明です。
この文書は、単純なマウス移動操作でVBAコードを実行するように設計されています。文書内に配置されたテキストボックス上にマウスを移動すると、悪意のあるコードが実行されます。そして、署名されたMcAfeeの実行ファイルを悪用して、ANEL(バージョン5.5.4)をメモリに読み込みます。この侵害チェーンを、図1に示します。
事例2:中欧の外交機関
2024年8月26日、MirrorFaceは中欧の外交機関を標的にしました。ESETが把握している限り、これはMirrorFaceがヨーロッパを標的にした最初で現在まででのところ唯一の事例です。
MirrorFaceのオペレーターは、この調査機関と日本のNGOとの過去の正規のやり取りを参照したメールメッセージ(図2を参照)を作成し、スピアフィッシング攻撃を仕掛けました。この正規のやりとりは、以前のキャンペーンで入手したものだと考えられます。図に示しているように、このスピアフィッシングのメッセージは、日本で開催されるEXPO 2025大阪・関西万博に関連しています。
最初のメールは無害でしたが、標的が応答すると、MirrorFaceのオペレーターは、悪意のあるOneDriveリンクを送信しました。このリンクは、The EXPO Exhibition in Japan in 2025.docx.lnkという名前のWord文書のように見せかけたLNKファイルが含まれるZIPアーカイブにアクセスします。この2番目のメッセージを図3に示します。MirrorFaceは、このアプローチによって標的がスピアフィッシング攻撃に関与するまでペイロードを隠蔽していました。
このLNKファイルを開くと、図4と図5に示している複雑な侵害チェーンが開始されます。
このLNKファイルは、cmd.exeを実行し、tmp.docxという悪意のあるWordファイルなどの追加のファイルをドロップします。normal_.dotmは、VBA コードを含む悪意のあるWordテンプレートを読み込みます。Word文書tmp.docxのコンテンツを図6に示します。この文書は、おそらく悪意のあるアクションがバックグラウンドで実行されている間、おとりとして機能することを目的としています。
VBAコードは、JustSystems Corporationから正規に署名されたアプリケーションを抽出し、ANELバックドア(バージョン5.5.5)をサイドローディングして復号します。これにより、MirrorFaceは侵害した後の攻撃を開始する足掛かりを確立しました。
ツールセット
「AkaiRyū作戦」では、MirrorFaceは独自のマルウェアだけでなく、さまざまなツール、そして一般に利用可能なRAT(リモートアクセス型トロイの木馬)をカスタマイズした亜種も利用しています。
ANEL
ANEL(別名:UPPERCUT)は、以前はAPT10のみが使用していたバックドアです。2024年、MirrorFaceは初期段階のバックドアとしてANELを使い始めました。2018年までのANELの開発状況については、SecureworksがJSAC2019のプレゼンテーションで解説しています。2024年に確認されたANELの亜種については、Trend Microが公開しています。
ANELはバックドアであり、ディスクでは暗号化された形式でのみ確認されます。ローダーが実行前に復号した後にのみ、復号されたDLL形式がメモリ内で確認されます。ANELはHTTP経由でC&Cサーバーと通信し、通信が傍受された場合に備えて送信データは暗号化されます。ANELは、ファイル操作、ペイロード実行、スクリーンショット取得などの基本的なコマンドをサポートしています。
ANELLDR
ANELLDRは、ANELバックドアの復号とメモリ内の実行専用に使用されるローダーです。ANELLDRの詳細は、Trend Microの記事を参照してください。
HiddenFace
HiddenFaceは、MirrorFaceの現在の主力バックドアであり、モジュール性に重点を置いています。詳細は、ESETがJSAC 2024のプレゼンテーションで解説しています。
FaceXInjector
FaceXInjectorは、XMLファイルに保存されたC#インジェクションツールであり、Microsoft MSBuildユーティリティによってコンパイルおよび実行されます。これは、HiddenFaceの実行専用に使用されるツールです。HiddenFaceに関する前述のJSAC2024のプレゼンテーションでは、FaceXInjectorの詳細についても説明しています。
AsyncRAT
AsyncRATは、GitHubで公開されているRATです。2024年、MirrorFaceは高度にカスタマイズされたAsyncRATを攻撃の後半で使用し始めました。このグループは、AsyncRATの常駐を確保するため、マシンの起動時に実行されるスケジュールタスクが登録されます。このタスクが実行されると、一連の複雑な処理(図7を参照)を経てAsyncRATがWindowsサンドボックス内で起動されます。このサンドボックスは手動で有効化しなければならず、再起動も必要であり、MirrorFaceがどのようにこの機能を有効にしているのかは不明です。
AsyncRATを実行するために、侵害されたマシンには以下のファイルが配信されます。
- 7z.exe:正規の7-Zip実行ファイル。
- 7z.dll:正規の7-Zipライブラリ。
- <random>.7z:パスワードで保護された7zアーカイブ。setup.exeというAsyncRATが保存されています。
- <random>.bat:AsyncRATを展開して実行するバッチスクリプト。
- <random>.wsb:<random>.batを実行するためのWindowsサンドボックス設定ファイル。
トリガーされたスケジュールタスクは、.wsbをパラメータとしてWindowsサンドボックスを実行します。このファイルには、サンドボックスの設定データが含まれています(図8を参照)。
設定ファイルでは特に、ネットワーク通信とディレクトリマッピングの有効化の可否、専用メモリサイズ、起動時の実行コマンドが定義されます。図8に示したファイルでは、サンドボックスフォルダにあるバッチファイルが実行されます。バッチファイルは、7zアーカイブからAsyncRATを抽出して、1時間ごとにAsyncRATを実行するスケジュールタスクを作成して起動します。
MirrorFaceが使用するAsyncRATの亜種は、高度にカスタマイズされており、以下のような機能や変更が導入されています。
- サンプルのタグ付け:特定の被害者向けにAsyncRATをコンパイルでき、MirrorFaceは設定にタグを追加することでサンプルにマーク付けできます。タグが指定されない場合、マシンのNetBIOS名がタグとして使用されます。このタグは、他の追加機能でも使われます。
- Torを介したC&Cサーバーへの接続:MirrorFaceのAsyncRATは、Torクライアントをダウンロードして起動し、クライアントを介してC&Cサーバーとの通信を中継します。ハードコードされたC&Cドメインが.onionで終わる場合にのみ、AsyncRATはこのオプションを選択します。事例2:中欧の外交機関の調査では、両方の検体でこのアプローチが選択されていました。
- ドメイン生成アルゴリズム(DGA):この亜種は、Torの代替としてDGAを使用し、C&Cサーバーのドメイン名を生成できます。DGAは、前述のタグを使用してマシン固有のドメインを生成することもできます。なお、HiddenFaceで使用されるDGAも、マシン固有のドメインを生成する可能性がありますが、AsyncRATで使用されるDGAとは異なります。
- 稼働時間:AsyncRATは、C&Cサーバーに接続する前に、現在の時刻と曜日が設定に定義された稼働時間と曜日の範囲内かどうかを確認します。MirrorFaceのAsyncRATは、この機能をHiddenFaceとも共有しています。
Visual Studio Codeのリモートトンネル
Visual Studio Codeは、Microsoftが開発した無料ソースコードエディタです。リモートトンネルは、Visual Studio Codeのリモート開発機能であり、これにより開発者はVisual Studio Codeをローカルで実行し、ソースコードやデバッグ環境をホストする開発マシンに接続できます。サイバー攻撃者はこれを悪用することで、リモートアクセスを可能にし、コードを実行して、侵害されたマシンにツールを配信できます。MirrorFaceによるリモートトンネルの使用は2024年から確認されていますが、リモートトンネルを使用しているAPTグループはMirrorFaceだけではありません。Tropic TrooperやMustang Pandaなどの中国とつながりのあるグループも、この手法を攻撃に利用しています。
セキュリティ侵害後の活動
事例2:中欧の外交機関の調査では、侵害後のMirrorFaceの活動の一部が明らかになりました。ESETは、標的となった機関と緊密に連携し、MirrorFaceが展開するマルウェアとツールについて深い洞察を得ました(表1を参照)。
この表は、侵害が確認されたマシン2台に展開されたマルウェアとツールを比較したものであり、展開の順序を時系列で示すものではありません。
| ツール | 備考 | マシンA | マシンB |
|---|---|---|---|
| ANEL | MirrorFaceが初期段階のバックドアとして使用するAPT10のバックドア。 | ● | ● |
| PuTTY | 端末エミュレータ、シリアルコンソール、ネットワークファイル転送の機能を持つオープンソースのアプリケーション。 | ● | ● |
| VS Code | Microsoftが開発したコードエディタ。 | ● | ● |
| HiddenFace | MirrorFaceの主力バックドア。 | ● | ● |
| HiddenFaceの2番目の亜種 | MirrorFaceの主力バックドア。 | ● | |
| AsyncRAT | GitHubで公開されているRAT。 | ● | ● |
| Hidden Start | UACの回避、Windowsコンソールの隠蔽、バックグラウンドでのプログラム実行に使用できるツール。 | ● | |
| csvde | Windowsサーバーで利用可能な正規のMicrosoftツール。ActiveDirectoryドメインサービス(AD DS)からデータをインポート/エクスポートするために使用されます。 | ● | |
| Rubeus | GitHubで公開されている、Kerberosの操作と悪用のためのツールセット。 | ● | |
| frp | GitHubで公開されている高速リバースプロキシ。 | ● | |
| 不明なツール | oneuu.exeという名前で偽装され、分析で復元できなかったツール。 | ● |
表1. 攻撃中にMirrorFaceが展開したマルウェアとツール
侵害された日(0日目) – 2024年8月27日
MirrorFaceのオペレーターは、2024年8月26日に悪意のあるリンクを含むメールを同機関のCEOに送信しました。しかし、CEOはWindowsを実行するマシンにアクセスできなかったため、他の従業員2人にメールを転送しました。翌日、この2人がThe EXPO Exhibition in Japan in 2025.docx.lnkという有害なLNKファイルを開いたことで、同機関のマシン2台が侵害され、ANELが展開されました。したがって、8月27日が侵害された日(0日目)であると考えられます。この日に確認された活動は、攻撃の足掛かりの確立のみです。
1日目 – 2024年8月28日
翌日、MirrorFaceは活動を再開し、アクセス、制御、ファイル配信のための複数のツールを両方の感染マシンに展開しました。展開されたツールには、PuTTY、VS Code、HiddenFace(MirrorFaceの現在の主力バックドア)が含まれています。マシンAでは、Hidden Startツールの展開も試みました。マシンBでは、さらにcsvdeとAsyncRATをカスタマイズした亜種を展開しました。
2日目 – 2024年8月29日
2日目、MirrorFaceは両方のマシンで活動を継続し、さらに多くのツールを展開しました。マシンAでは、HiddenFaceの2番目のインスタンスを展開しました。マシンBでは、VS Codeのリモートトンネル、HiddenFace、AsyncRATを実行しました。これらに加えて、HiddenFace経由でfrpとRubeusを展開し、実行しました。マシンBでMirrorFaceの活動が観測されたのは、この日が最後です。
3日目 – 2024年8月30日
MirrorFaceは、マシンAでのみ活動を継続しました。前日の29日から同機関が攻撃への対応を開始したことから、その影響を受けてマシンBでのMirrorFaceの活動が阻止された可能性もあります。MirrorFaceは、マシンAでAsyncRATを展開し、スケジュールタスクを登録して常駐化を試みました。
6日目 – 2024年9月2日
週末の8月31日と9月1日には、マシンAでの活動はありませんでした。週明けの9月2日、マシンAの起動と同時にMirrorFaceの活動も再開しました。この日の大きな動きは、Google Chromeの連絡先情報、キーワード、自動入力データ、保存されたクレジットカード情報などのWebデータがSQLiteデータベースファイルにエクスポートされたことです。データがどのようにエクスポートされたのか、データが外部に流出したのか(または、どのように流出したのか)については、特定できませんでした。
結論
2024年、MirrorFaceは戦術、手法、手順(TTP)とツールを刷新しました。2018/2019年頃に放棄されたと考えられていたANELを、初期段階のバックドアとして使用するようになっています。他の情報も合わせて総合的に考えると、MirrorFaceはAPT10傘下のグループであると結論付けけられます。MirrorFaceは、ANELに加えて、高度にカスタマイズされたAsyncRAT、Windowsサンドボックス、VS Codeリモートトンネルなどのツールも使用するようになっています。
MirrorFaceは「AkaiRyū作戦」の一環として、中央ヨーロッパの外交機関を標的としました。ESETが確認している限り、同グループがヨーロッパの組織を攻撃したのはこれが初めてです。使用されたTTPは、2024年のキャンペーンで確認されたTTPが刷新されたものです。この攻撃で「おとり」として利用されたのは、2025年に開催される大阪・関西万博です。標的とする地域が拡大している一方で、依然としてMirrorFaceが日本のイベントや地政学に焦点を当てていることが伺えます。
ESETは、標的となった組織と緊密に連携することで、通常は確認が難しい侵害後の活動を詳細に把握できました。それでも、全体像を把握するには依然として多くの情報が不足しています。MirrorFaceは運用を確実に保護するための対策を徹底しており、インシデント調査の妨害を目的として、配信したツールやファイルの削除、Windowsイベントログの消去、Windowsサンドボックスでのマルウェア実行といった手法を活用しています。
| SHA-1 | ファイル名 | 検出 | 説明 |
|---|---|---|---|
| 018944FC47EE2329B23B74DA31B19E57373FF539 | 3b3cabc5 | Win32/MirrorFace.A | AESで暗号化されたANEL。 |
| 68B72DA59467B1BB477D0C1C5107CEE8D9078E7E | vsodscpl.dll | Win32/MirrorFace.A | ANELLDR。 |
| 02D32978543B9DD1303E5B020F52D24D5EABA52E | AtokLib.dll | Win32/MirrorFace.A | ANELLDR。 |
| 2FB3B8099499FEE03EA7064812645AC781AFD502 | CodeStartUser.bat | Win32/MirrorFace.A | 悪意のあるバッチファイル。 |
| 9B2B9A49F52B37927E6A9F4D6DDB180BE8169C5F | erBkVRZT.bat | Win32/MirrorFace.A | 悪意のあるバッチファイル。 |
| AB65C08DA16A45565DBA930069B5FC5A56806A4C | useractivitybroker.xml | Win32/ FaceXInjector.A | FaceXInjector。 |
| 875DC27963F8679E7D8BF53A7E69966523BC36BC | temp.log | Win32/MirrorFace.A | 悪意のあるCABファイル。 |
| 694B1DD3187E876C5743A0E0B83334DBD18AC9EB | tmp.docx | Win32/MirrorFace.A | 悪意のあるテンプレートnormal_.dotmを読み込む「おとり」のWord文書。 |
| F5BA545D4A16836756989A3AB32F3F6C5D5AD8FF | normal_.dotm | Win32/MirrorFace.A | 悪意のあるVBAコードを含むWordテンプレート。 |
| 233029813051D20B61D057EC4A56337E9BEC40D2 | The EXPO Exhibition in Japan in 2025.docx.lnk | Win32/MirrorFace.A | 悪意のあるLNKファイル。 |
| 8361F7DBF81093928DA54E3CBC11A0FCC2EEB55A | The EXPO Exhibition in Japan in 2025.zip | Win32/MirrorFace.A | 悪意のあるZIPアーカイブ。 |
| 1AFDCE38AF37B9452FB4AC35DE9FCECD5629B891 | NK9C4PH_.zip | Win32/MirrorFace.A | 悪意のあるZIPアーカイブ。 |
| E3DA9467D0C89A9312EA199ECC83CDDF3607D8B1 | N/A | MSIL/Riskware.Rubeus.A | Rubeusツール。 |
| D2C25AF9EE6E60A341B0C93DD97566FB532BFBE8 | Tk4AJbXk.wsb | Win32/MirrorFace.A | 悪意のあるWindowsサンドボックス設定ファイル。 |
ネットワーク
| IP | ドメイン | ホスティングプロバイダー | 最初に確認された日付 | 詳細 |
|---|---|---|---|---|
| N/A | vu4fleh3yd4ehpfpciinnwbnh4b77rdeypubhqr2dgfibjtvxpdxozid[.]onion | N/A | 2024年8月28日 | MirrorFaceのAsyncRATのC&Cサーバー。 |
| N/A | u4mrhg3y6jyfw2dmm2wnocz3g3etp2xc5thzx77uelk7mrk7qtjmc6qd[.]onion | N/A | 2024年8月28日 | MirrorFaceのAsyncRATのC&Cサーバー。 |
| 45.32.116[.]146 | N/A | The Constant Company, LLC | 2024年8月27日 | ANELのC&Cサーバー。 |
| 64.176.56[.]26 | N/A | The Constant Company, LLC | N/A | FRPクライアントのリモートサーバー。 |
| 104.233.167[.]135 | N/A | PEG-TKY1 | 2024年8月27日 | HiddenFaceのC&Cサーバー。 |
| 152.42.202[.]137 | N/A | DigitalOcean, LLC | 2024年8月27日 | HiddenFaceのC&Cサーバー。 |
| 208.85.18[.]4 | N/A | The Constant Company, LLC | 2024年8月27日 | ANELのC&Cサーバー。 |
MITRE ATT&CKの技術
この表は、MITRE ATT&CKフレームワークのバージョン16を使用して作成されています。
リソース開発 | T1587.001 | 開発能力:マルウェア | MirrorFaceは、HiddenFaceなどのカスタムツールを開発しています。 |
| T1585.002 | アカウントの確立:メールアカウント | MirrorFaceは、スピアフィッシングメールの送信に使用するためにGmailアカウントを作成します。 | |
| T1585.003 | アカウントの確立:クラウドアカウント | MirrorFaceは、悪意のあるファイルをホストするためにOneDriveアカウントを作成します。 | |
| T1588.001 | 入手能力:マルウェア | MirrorFaceは、公開されているRATであるAsyncRATを利用し、攻撃に合わせてカスタマイズします。 | |
| T1588.002 | 入手能力:ツール | MirrorFaceは、Hidden Startを攻撃に利用します。 | |
| 初期アクセス | T1566.002 | フィッシング:スピアフィッシングリンク | MirrorFaceは、悪意のあるOneDriveリンクを含むスピアフィッシングメールを送信します。 |
実行 | T1053.005 | タスク/ジョブのスケジュール:タスクのスケジュール | MirrorFaceは、HiddenFaceとAsyncRATを実行するためにスケジュールタスクを登録します。 |
| T1059.001 | コマンドラインインターフェイス:PowerShell | MirrorFaceは、Visual Studio Codeのリモートトンネルを実行するためにPowerShellコマンドを使用します。 | |
| T1059.003 | コマンドラインインターフェイス:Windowsコマンドシェル | MirrorFaceは、HiddenFaceの永続性を確保するためにWindowsコマンドシェルを使用します。 | |
| T1204.001 | ユーザーによる実行:悪意のあるリンク | MirrorFaceの攻撃は、標的がOneDriveの共有リンクから悪意のあるファイルをダウンロードすることを前提としています。 | |
| T1204.002 | ユーザーによる実行:悪意のあるファイル | MirrorFaceの攻撃は、標的がANELを展開する悪意のあるLNKファイルを実行することを前提としています。 | |
| T1047 | Windows Management Instrumentation(WMI) | MirrorFaceは、ANELを実行するためにWMIを実行プロキシとして使用します。 | |
常駐化 | T1547.001 | ブートまたはログオン自動起動:Runレジストリキーやスタートアップフォルダの悪用 | ANELは、永続性を確保するために起動ディレクトリの1つを使用します。 |
| T1574.001 | ハイジャックの実行フロー:DLL検索順序ハイジャック | MirrorFaceは、悪意のあるライブラリと正規の実行ファイル(例、ScnCfg32.Exe)をドロップして、ANELをサイドローディングします。 | |
防衛機能の回避 | T1027.004 | ファイルや情報の難読化:配信後のコンパイル | スケジュールタスクの実行ごとに、FaceXInjectorがコンパイルされます。 |
| T1027.007 | ファイルや情報の難読化:動的なAPI解決 | HiddenFaceは、起動時に必要なAPIを動的に解決します。 | |
| T1027.011 | ファイルや情報の難読化:ファイルを使用しない保存方法 | HiddenFaceは、侵害されたマシンのレジストリキーに保存されます。 | |
| T1055 | プロセスインジェクション | 正規のWindowsユーティリティにHiddenFaceを挿入するために、FaceXInjectorが使用されます。 | |
| T1070.004 | 攻撃の痕跡の削除:ファイルの削除 | HiddenFaceがレジストリに移された後、配信先のファイルは削除されます。 | |
| T1070.006 | 攻撃の痕跡の削除:タイムスタンプの変更 | HiddenFaceは、選択されたディレクトリに含まれるファイルのタイムスタンプを改ざんできます。 | |
| T1112 | レジストリの変更 | FaceXInjectorは、レジストリキーを作成し、そこにHiddenFaceを保存します。 | |
| T1127.001 | 信頼される開発者ユーティリティ: MSBuild | FaceXInjectorの実行のためにMSBuildが悪用されています。 | |
| T1140 | ファイルや情報の難読化解除と復号 | HiddenFaceは、AESで暗号化されたファイルから外部モジュールを読み込みます。 | |
| T1622 | デバッガの回避 | HiddenFaceは、デバッグされているかどうかをチェックします。 | |
| T1564.001 | アーチファクトの隠蔽:ファイルとディレクトリの隠蔽 | MirrorFaceは、AsyncRATを使用してディレクトリを隠します。 | |
| T1564.003 | アーチファクトの隠蔽:画面の隠蔽 | MirrorFaceは、Hidden Start(画面を隠蔽できるツール)の使用を試みます。 | |
| T1564.006 | アーチファクトの隠蔽:仮想インスタンスの実行 | MirrorFaceは、Windowsサンドボックスを使用してAsyncRATを実行します。 | |
| T1070.001 | 攻撃の痕跡の削除:Windowsイベントログの消去 | MirrorFaceは、活動の証拠を隠滅するためにWindowsイベントログを消去します。 | |
| T1036.007 | なりすまし:二重のファイル拡張子 | MirrorFaceは、標的を欺くために、.docx.lnk(いわゆる二重ファイル拡張子)を使用します。 | |
| T1218 | 署名付きバイナリプロキシの実行 | MirrorFaceは、ANELを実行するために、wlrmdr.exeを実行プロキシとして使用します。 | |
| T1221 | テンプレートインジェクション | MirrorFaceが、悪意のあるVBAコードを実行するために、Wordテンプレートインジェクションを使用します。 | |
探査 | T1012 | クエリーレジストリ | HiddenFaceは、マシンIDなどのマシン固有の情報をレジストリに問い合わせます。 |
| T1033 | システムオーナー/ユーザーの検出 | HiddenFaceは、現在ログインしているユーザーの名前を特定してC&Cサーバーに送信します。 | |
| T1057 | プロセスの検出 | HiddenFaceは、現在実行中のプロセスをチェックします。 | |
| T1082 | システム情報の検出 | HiddenFaceは、さまざまなシステム情報を収集してC&Cサーバーに送信します。 | |
| T1124 | システム時間の検出 | HiddenFaceは、システム時間を特定してC&Cサーバーに送信します。 | |
| T1087.002 | アカウント情報の探索ドメインアカウント | MirrorFaceは、ActiveDirectoryドメインサービス(AD DS)からデータをエクスポートするために、csvdeツールを使用します。 | |
収集 | T1115 | クリップボードのデータ | HiddenFaceは、クリップボードのデータを収集してC&Cサーバーに送信します。 |
| T1113 | 画面キャプチャ | ANELは、スクリーンショットを取得してC&Cサーバーに送信します。 | |
C&C(コマンド&コントロール) | T1001.001 | データの難読化:ジャンクデータ | HiddenFaceは、C&Cサーバーに送信されるメッセージにジャンクデータを追加します。 |
| T1568.002 | 動的な解決:ドメイン生成アルゴリズム | HiddenFaceは、C&Cサーバーのドメイン名を生成するために、DGAを使用します。 | |
| T1573 | チャネルの暗号化: | HiddenFaceは、暗号化されたチャネルを介してC&Cサーバーと通信します。 | |
| T1071.001 | 標準のアプリケーションレイヤープロトコル:Webプロトコル | ANELは、HTTPを使用してC&Cサーバーと通信します。 | |
| T1132.001 | データのエンコーディング:標準エンコーディング | ANELは、C&Cサーバーに送信されるデータをbase64でエンコードします。 | |
情報の外部への送信 | T1030 | データ転送サイズの制限 | HiddenFaceは、オペレーターの要求に応じてデータを分割し、チャンクごとにC&Cサーバーに送信できます。 |
| T1041 | C&Cチャネルからの送信 | HiddenFaceは、要求されたデータを抽出してC&Cサーバーに流出させます。 |
