概要と攻撃手法
最近の標的型フィッシングキャンペーンにおいて、Cavalry Werewolfクラスターは、政府関係者を装い、FoalShellとStallionRATマルウェアを展開することで、その活動をエスカレートさせています。これらの戦術は、継続的なサイバーインテリジェンスの監視と堅牢なメール認証対策の緊急性を浮き彫りにしています。
Cavalry Werewolfは、キルギス政府機関に属するメールアドレスを登録または侵害することからキャンペーンを開始しました。攻撃者は、経済貿易省、文化・情報・スポーツ・青年政策省、運輸通信省の職員を装いました。ある顕著な例では、彼らはキルギス共和国の規制当局から合法的に入手したアドレス(おそらく以前の作戦で侵害されたもの)を使用し、フィッシングの信頼性を高めていました。
フィッシングメールは、公式文書を模倣した名前のRAR添付ファイルと共に届きました。一部のパッケージには、Go、C++、C#で書かれたリバースシェル型トロイの木馬であるFoalShellが含まれており、他のパッケージには、Telegramボットをコマンド&コントロール(C2)に利用する多機能なリモートアクセス型トロイの木馬であるStallionRATが隠されていました。攻撃者は、政府関係者を装い、かつ正規のアカウントを乗っ取ることで、配信成功の可能性を高めました。これは、防御側が送信者の身元だけでなく、メールの内容、埋め込みリンク、添付ファイルを精査して異常を検出する必要があることを示しています。
FoalShellの検出
FoalShellは、スレッドリダイレクトされた入出力を持つ隠されたcmd.exeセッションを介して動作します。このキャンペーンで観測された既知のファイル名には、ロシア語のタイトルを持つ実行ファイルが含まれます。例えば、「О результатах трёх месяцев совместной работы [redacted].exe」や「Список сотрудников выдвинутых к премии ко Дню России.exe」などです。C#およびC++の亜種は、WinAPIコール(VirtualAlloc with RWE permissions、ZwResumeThread)を介してシェルコードをメモリにロードすることで、ステルス実行を可能にします。
脅威ハンターは、以下の方法でFoalShellの活動を特定できます。
- Outlookがダウンロードした添付ファイルを保存する
%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlookディレクトリ内の不審なアーカイブ作成を追跡する。 - 一時ディレクトリまたはユーザーディレクトリ内のドキュメントのような名前の親プロセスによって起動された
cmd.exeプロセスを監視し、リバースシェル実行を検出する。 - 政府のメモやプロジェクト計画を模倣したファイル名が、予期せぬコンテキストで出現した場合も警戒する。
StallionRATキャンペーン
StallionRATは、C++ランチャーを介してPowerShellを実行し、Base64エンコードされたコマンドでRATを起動し、Telegramボットとの通信を確立します。一般的なファイル名には、「Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe」などがあります。一度アクティブになると、StallionRATはランダムなDeviceID(100~10,000)を割り当て、getUpdatesを使用してTelegram APIを継続的にポーリングします。オペレーターは以下のコマンドを発行します。
/list: 感染ホストを列挙する。/go [DeviceID] [command]: 任意のコマンドを実行する。/upload [DeviceID]: TelegramのファイルAPIを介してファイルを展開する。
分析により、DeviceID 9139で永続的なRunキー(WinRVN)をHKCUに追加し、SOCKS5プロキシエージェント(rev.exe、revv2.exe)を起動してトラフィックを中継するコマンドが確認されました。また、環境偵察コマンド(ipconfig /all、netstat、whoami)も実行されていました。ハンターは、-EncodedCommand、-ExecutionPolicy Bypass、-WindowStyle Hiddenオプションで呼び出されたPowerShellプロセスを検索すべきです。これらのフラグは正当な場合もありますが、予期せぬ親プロセスやC:\Users\Public\Libraries\内のドキュメント名の実行可能ファイルと関連付けて相関分析を行うことで、ノイズを減らすことができます。また、攻撃者はAsyncRATなどの他のツールも使用した可能性があります。
脅威インテリジェンスと防御策
攻撃が公に開示されていない場合でも、インテリジェンスフィードや地域のサイバーポータルは、Cavalry Werewolfのような新たな脅威クラスターに関するタイムリーな洞察を提供します。組織はこれらの情報源を購読し、検出ルールを優先し、メール認証プロトコル(SPF、DKIM、DMARC)を更新し、厳格な添付ファイルサンドボックスを強制する必要があります。
メールの評判スコアリングとRARパックされた実行可能ファイルのサンドボックスデトネーションを自動化することで、悪意のあるペイロードが配信される前に阻止できます。Outlookキャッシュ内の不審なファイル作成、異常なRunレジストリ変更、ステルスなPowerShell呼び出しの追跡など、最新の脅威ハンティング仮説を維持することで、セキュリティチームは進化し続ける攻撃者に対抗できます。警戒とリアルタイムのインテリジェンスの組み合わせが、この増大する脅威クラスターによる洗練されたなりすましとRAT展開を阻止するために不可欠です。