Cisco Talosは、2022年から活動している高度で長期にわたるキャンペーンを発見しました。このキャンペーンは、DLL検索順序のハイジャックを悪用し、RainyDayおよびTurianバックドアの特性を併せ持つ新しいPlugX亜種を配信しています。中央アジアおよび南アジアの通信および製造組織を標的としたこの作戦は、マルウェア機能の顕著な収束と、NaikonおよびBackdoorDiplomacyグループの活動を結びつける共有インフラストラクチャを示しています。

RainyDayバックドアの詳細な調査中に、Talosのアナリストは、新しいPlugX亜種が、以前RainyDayとTurianの両方で使用されていたDLL検索順序ハイジャックと同様の技術で、正当なMobile Popup Application実行可能ファイルを悪用してローダーをメモリにサイドロードしていることを発見しました。調査により、これら3つのマルウェアファミリーすべてが、同じXOR-RC4-RtlDecompressBuffer復号アルゴリズムと同一のRC4キーを使用してペイロードを復号していることが明らかになり、共有された暗号ツールキットの存在が浮き彫りになりました。Bitdefenderは、Quarian、Turian、Whitebirdが同じバックドアの異なるバージョンである可能性を示唆しています。

このPlugXの構成は、標準的なPlugXのフォーマットではなくRainyDayの構成ファイル構造を採用しており、脅威アクターがPlugXのソースコードにアクセスし、Naikonの構成規則に合わせてカスタマイズした可能性が強く示唆されています。Talosは、このキャンペーンが、少なくとも2010年から活動している中国語を話すスパイアクターであるNaikonに起因すると中程度の確信度で評価しています。Naikonは、東南アジアの政府および通信ターゲットに対してRainyDay、Nebulae、Aira-bodyバックドアを展開していることで知られています。

この特定の作戦中に直接的なRainyDayまたはTurianの活動は確認されていませんが、XOR-RC4復号ルーチンの継続的な使用、共有されたRC4キー、およびマルウェアファミリー全体での同一のローダー動作は、共通の開発者またはサプライヤーを示唆しています。カザフスタンやウズベキスタンの通信事業者など、被害者層の歴史的な重複や、南アジアのネットワークの共有された標的化は、NaikonとBackdoorDiplomacyが同一グループであるか、単一のベンダーからツールを調達していることをさらに示唆しています。Talosのダイヤモンドモデル比較は、NaikonとBackdoorDiplomacyの両方が通信および政府部門に焦点を当て、同様のC2プロトコルを利用し、同一のローダー技術に依存していることを強調しています。決定的な関連付けは依然として困難ですが、ローダーコードの収束、PDBパスの類似性、および暗号化キーは、複数のマルウェアファミリーを支える接続されたインフラストラクチャを指し示しています。

初期感染チェーンは、悪意のあるドキュメントまたは電子メールの誘引から始まり、DLL検索順序ハイジャックに対して脆弱な正当な署名付きバイナリの実行が続きます。ローダーが配置されると、同じディレクトリから暗号化されたシェルコードファイル（RainyDayの場合は「rdmin.src」、PlugXの場合は「Mcsitesdvisor.afx」、Turianの場合は「winslivation.dat」）を読み取ります。ローダーはGetModuleFileNameAで自身のパスを解決し、XORでシェルコードを復号し、RC4とLZNT1解凍を適用してペイロードをメモリに展開します。RainyDayとPlugXは呼び出し元のプロセスに直接注入しますが、Turianはペイロードをホストするために新しいプロセス（wabmig.exeまたはexplorer.exe）を起動します。

ローダーバイナリに埋め込まれたPDBパスは、開発者のプロジェクト名とタイムスタンプを明らかにします。たとえば、Turianサンプルでは「3-2hao-211221」、RainyDayおよびPlugXローダーでは「MicrosoftEdge Update」パスなどがあり、共有された開発環境とツールチェーンを示唆しています。特に、TurianローダーのPDB文字列は、「ウェブ版を提供する」という意味の中国語の用語を参照しており、カスタムのウェブベースのICMPシェルコンポーネントを示しています。Talosのアナリストはまた、2016年から2024年までの侵入活動のタイムラインをマッピングし、古いRainyDay亜種、2022年のPlugX亜種の出現、およびBackdoorDiplomacyキャンペーンと連携したTurianの活動を網羅しています。この時系列は、脅威アクターの永続的な進化と継続的な活動を強調しています。

**緩和策**
アジアの通信および製造部門の組織は、DLL検索順序ハイジャックと異常なローダー動作を検出できるソリューションを優先する必要があります。Cisco Secure Endpointは、デジタル署名を検証し、プロセス作成を監視することで、悪意のあるサイドロードされたDLLをブロックします。Secure EmailおよびSecure Firewallアプライアンスは、フィッシングの誘引を傍受し、悪意のあるバイナリをブロックできます。Stealthwatchなどのネットワーク分析ツールは、異常なRC4解凍トラフィックパターンを検出し、Threat Gridはこれらの特殊なローダーを特定するためのサンドボックス分析を提供します。厳格なアプリケーションホワイトリストの実施と適切なDLL検索順序制御の強制は、この種の攻撃をさらに軽減します。また、「rdmin.src」、「Mcsitesdvisor.afx」、「winslivation.dat」という名前のファイルを継続的に脅威ハンティングすることで、侵害の早期兆候を明らかにすることができます。RainyDay、Turian、PlugXにわたる共有インフラストラクチャと暗号ルーチンを理解することで、防御側は検出シグネチャを強化し、この多用途な脅威アクターのサプライチェーンを混乱させることができます。

元記事：[RainyDay, Turian and Naikon Malwares Abuse DLL Search Order to Execute Malicious Loaders](https://gbhackers.com/rainyday-turian-naikon-malwares-abuse-dll-search-order-to-execute-malicious-loaders/)