FortiGuard Labs 脅威リサーチ

PivNoxyとChinoxy Puppeteerについて

投稿者 Shunichi Imano および Fred Gutierrez | 2022年12月1日

FortiGuard Labsで最近注目されているのは、南アジアの通信機関宛てに送信された簡易的な短文メールに添付されている不審なRTF添付ファイルです。このメールは、パキスタンの政府部門からの送信を装って、PivNoxyマルウェアを配信していました。

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             被害者のデバイスを制御して、機密情報を収集
深刻度:            

今回のブログでは、攻撃の仕組み、攻撃の背後にいる脅威アクター、攻撃者が使用する手法について詳しく解説します。

攻撃の概要

攻撃の開始は、ドキュメントが添付された簡易的なメールからでした。

図1:攻撃で使用されたスピアフィッシングメール

添付のドキュメントファイルはRTF形式です。これは、Royal Roadというツール(フィッシングツール「weaponizer」)を使用して生成されたもので、アジアを拠点とする複数のAPT攻撃者が使用していると考えられています。また、Royal Roadは、8.t RTFエクスプロイトビルダーとも呼ばれ、これによりAPTグループは、埋め込みオブジェクトを含むRTFファイルを作成し、Microsoft Wordの脆弱性を悪用して標的に感染させることができるようになります。Royal Roadがサポートする既知の脆弱性には、次のものがあります。

メールの添付ファイル「Please help to CHECK.doc」を開くと、おとりのWord文書(デコイ)が開きます。同時に、バックグラウンドでCVE-2018-0798が悪用されます。CVE-2018-0798は、Microsoft Equation Editor (EQNEDT32)のRCE(リモートコード実行)脆弱性です。これに対しMicrosoftは、2018年1月9日に修正プログラムをリリースしました。しかし、攻撃者が未だこの脆弱性を標的にしているということは、クリティカルパッチの展開や、最新のソフトウェアへのアップグレードを行っていない組織がまだあるこということです。古い脆弱性でありながらも、未だ一般的に悪用されているのが現状なのです。

図2:攻撃で使用されているおとりのWordファイル。ドキュメントが文字化けしているのは、テストマシンでサポートされていない言語が使用されているからかもしれません。

実行されると、悪意のあるドキュメントは次の3ファイルをドロップします。

  • C:\\ProgramData\Cannon\Cannondriver.exe
  • C:\\ProgramData\Cannon\LBTServ.dll
  • C:\\ProgramData\Cannon\Microsoft.BT

不正なファイル名にもかかわらず、Cannondriver.exeファイルは正規のLogitechファイル「LBTWizGi.exe」となり、説明箇所には「Logitech Bluetooth Wizard Host Process」と記されています。さらに、Cannondriver.exeは、Logitechに対して発行された証明書によりデジタル署名されています。

図3:Cannondriver.exeの正規バージョン

一方、LBTServ.dllファイルはデジタル署名されていません。ここからが本題です。「Cannondriver.exe」は、LBTServ.dllが利用するDLL検索順序ハイジャック攻撃に対して脆弱です。なお、この攻撃で使用されている「LBTServ.dll」サンプルのコンパイル時間は、Sun July 18 02:04:24 2021 GMTになっています。つまり、このグループが作成した亜種は、実際に必要になる前から作成されていたことになります。約1年前から標的を攻撃することができる状態だったのか、もしくはすぐに利用できるマルウェアを大量に蓄積し始めていたことが考えられます。最近のChinoxyサンプルは目につきにくいものでしたが、調査中に発見することができました。コンパイル時間は似ています。

図4:Cannondriver.exeにおけるDLL検索順序ハイジャック

上の図は、Cannondriver.exeにあるコードの一部です。基本的に、このコードはLBTServ.dllにあるLGBT_Launchという名前のエクスポートを呼び出します。

図5:LBTServ.dllの内部

Cannondriver.exeが偽のLBTServ.dllをロードしてLGBT_Launch関数を呼び出すと、その悪意のある関数が、ドロップされたもう一方のファイル「Microsoft.BT」をメモリにロードして復号化します。攻撃チェーンは、Chinoxyバックドアで使用されるものと似ています。ここでも、Cannondriver.exeにより悪意のあるLBTServ.dllがロードされ、ペイロードが配信されます。

しかし、南アジアの通信機関に送信された最新の亜種では、最終ペイロードの配信が従来と少し異なります。最終ペイロードを含むLBTServ.dllではなく、シェルコードが別のファイルからロードされ、svchost.exeに挿入されます。すると、ペイロードがホストされている攻撃者のIPに接続をリダイレクトするダイナミックDNS「instructor[.]giize[.]com」と接続します。残念ながら、今回の調査ではリモートファイルは得られませんでした。しかし幸いなことに、nao_secのツイートで、PoisonIvyマルウェアがペイロードであることが確認できました。

図6:nao_secのツイート(2022年5月12日)

PoisonIvyはリモートアクセス型トロイの木馬(RAT)で、10年以上も前から存在しています。RAT(別称「Pvy」)は、アンダーグランドフォーラムで配布されています。これにより、攻撃者は脆弱なマシンを制御し、GUIを使用して偵察アクティビティを実行できるようになります。

PoisonIvyの仕組みについては、以前に連載されたFortiGuard Labsのブログでも詳しく解説しています:

これらのブログで取り上げられているPoisonIvy RAT亜種は、ラテラルムーブメントで実行されます。そのため、PoisonIvyによる1回の感染でも、影響を受けると組織内のさまざまなマシンから情報が盗まれる恐れがあります。

攻撃者の身元を明らかにすることを目指して

PoisonIvyは標的型攻撃で使用されていることが知られていますが、南アジアの通信機関を標的とした攻撃の背後にいる攻撃者を特定することは容易ではありません。RATの使用が報告された脅威アクターは数多く、可用性も広範にわたるからです。

攻撃者に対し関心を寄せていくうちに、その関心は、2022年1月にフランスからVirusTotalに提出された別のLBTServ.dll (SHA2:719F25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3) に至りました。このファイルは、SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7feを有するファイルによりドロップされます。

今回の分析により、ファイルが、標的の機関宛てメールに添付されていたファイルと似た動作をすることが明らかになりました。フォルダ(c:\windows\tasks)が作成され、設定ファイルとPEファイルがフォルダにドロップされます。ドロップされた実行ファイル「unio.exe」は、このブログで前述したCannondriver.exeを装った正規の署名付きLogitechファイルと同じです。unio.exeは、今回の攻撃でドロップされた他のファイルの1つである「LBTServ.dll」をロードします。この事例の場合、LBTServ.dllにはバックドアペイロード全体が含まれるので、シェルコードをロードしてダウンロードすることはありません。また、このLBTServ.dllファイルは、DLL検索順序ハイジャックを利用することができ、さらに、偽のエクスポート8つと、LGBT_Launchという名前の悪意のあるエクスポートも有しています。このことから、活動としては、VirusTotalへのファイル送信日にあたる2022年1月に発生したものと違いはあるものの、どちらの攻撃も脅威アクターからの攻撃である可能性が高いという考えに至りました。

さらに興味深いことに、719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3のコンパイル時間は「2016-07-09 12:49:34 UTC」であるのに対し、ドロッパー(SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe)のコンパイル時間は、29秒程度遅い2016-07-09 13:18:11 UTCとなっています。これらのことから、2016年半ば以降にはこの攻撃者グループがアクティブであったことがわかります。

PivNoxyとChinoxy Puppeteerについて

ここでは、脅威アクターが使用した手法に関する経緯を少し解説します。特に、最もLogitech Bluetooth Wizard Host Processらしいファイルを彼らがどのように使用しているのかに重きを置きます。この署名付きの正規ファイルには、DLL検索順序ハイジャックの脆弱性が含まれています。APTグループがこの脆弱性を利用する目的は、悪意のある「LBTServ.dll」ファイルを自分たちで作成して、実際のLogitechプロセスが実行されるたびに作成したファイルをロードできるようにすることです。時間の経過とともに、この悪意のあるDLLは進化し、さまざまな手法が使用できるようになっています。攻撃チェーンは、添付ファイル付きメールから始まるのが一般的です。添付ファイル自体に実行ファイルが含まれています。実行されると、悪意のあるDLL、正規のLogitech実行ファイル、マルウェアが使用する関連ファイルがドロップされます。

以下は、脅威アクターが上記の手法でChinoxy、PivNoxy、最近のChinoxy亜種を配信する際に使用されるドロッパーマルウェアのタイムラインです。

図7:ファイルのコンパイル時間に基づくドロッパーマルウェアのタイムライン例。注意:Q1、Q2、Q3、Q4は、それぞれ1月~3月、4月~6月、7月~9月、10月~12月を表します。

タイムラインのとおり、2021年のQ3に、脅威アクターはPivNoxyからChinoxyの新亜種に蓄積を切り替えています。この亜種は、ファイルのシェルコードを復号化してロードし、次のペイロードをダウンロードします。ChinoxyからPivNoxyへの切り替えは、2020年Q2あたりから始まっています。

FortiGuard Labsでは、2016年半ばから2018年末まで、Chinoxyという亜種により「LBTServ.dll」が一貫して使用されていることを報告しています。この形式では、悪意のあるDLLが「k1.ini」という名前の外部設定ファイルをロードしています。

図8:Chinoxyで使用される設定ファイル

通常、この設定ファイルにはbase64文字列が含まれています。このことから、Chinoxyが使用するC2サーバーであることがわかります。

図9:Chinoxy設定ファイルからBase64デコードされた値

[Remark]フィールドには、攻撃のおおよその日付が表示されます。このChinoxy DLL例(SHA2:719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3)では、メタデータによると、コンパイル時間がSat Jul 09 12:49:34 2016 GMTになっています。メインドロッパー(SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe)自体のコンパイル時間は、2016-07-09 13:18:11 GMTになっています。ターンアラウンドタイムはわずか数日だったと考えられます。Chinoxyはバックドアとして動作し、感染したコンピュータからデータを収集しています。興味深いのは、2年以上にわたり同じC2サーバーが使用されていたという点です。テレメトリにより、このサーバーへのトラフィックの大部分はインドから発信されていたことがわかります。

2020年末から2021年初頭にかけグループが復帰することになるまで、比較的目につきにくくなっていました。Operation Nightscoutは、まず東南アジアのゲーマーを標的にしました。NoxPlayerはAndroidエミュレータで、多くのプログラムと同様に、サーバーに接続してアップデートを確認します。そこで、APTグループは戦術を変更し、メールの添付ファイルを介してマルウェアを配信するのではなく、NoxPlayerの更新チェーンをどうにか侵害することにしました。東南アジアのゲーマーに偽のアップデートパッケージが送信されたのです。

Chinoxyの事例と同様に、このPivNoxy亜種(SHA2: 5c2a6b11d876c5bad520ff9e79be44dfbb05ee6a6ff300e8427deab35085bef6)では、偽のアップデートパッケージを使用して、Logitechで使用されているものと同じDLL検索順序ハイジャック手法を使用するファイルなど、複数のファイルを展開します。しかし、この事例では、以前のバージョンよりも強力なマルウェアを配信するために「LBTServ.dll」が使用され、PivNoxyによりPoisonIvy RATが悪意のあるDLLを介して配信されました。ベンダーによると、感染したコンピュータは東南アジアのゲーマーであると報告されていますが、当社のテレメトリでは、メキシコを起源にゲーマーの感染が増えていることが示唆されています。

この時点で、この脅威アクターは再び沈黙を決めています。しかし、2022年5月になると、パキスタンの政府機関を装ったスピアフィッシングメールが南アジアの通信機関に送信されました。そして今回、Chinoxyマルウェアの新亜種を配信しようとしました。

地域的な関心

このブログで前述したドロッパーマルウェア(SHA2: cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe)は、goog1eupdate[.]comに到達します。過去6ヵ月間にわたり収集されたFortiGuardのテレメトリによると、ドメインへの接続は約70%がメキシコから行われ、22%がインドから行われていました。Chinoxy亜種も、2016年から2018年にかけてこのドメインを使用していました。

また、frontbeauty[.]dynamic-dns[.]net、beautygirl[.]dynamic-dns[.]net、784kjsuj[.]dynamic-dns[.]netへの3つの類似した接続例も発見しました。この6ヵ月間における3つのドメインへのアクセスは、すべてインドから行われていたのです。なお、これらはダイナミックDNSであるため、すべての接続が脅威アクターに関連しているとは言えません。しかし、2020年11月に公開されたBitdefenderレポートでは、ツールセットの一部としてFunnyDreamバックドアを使用して主に東南アジアを標的にしたAPTグループに関するIOC(Indicators of Compromise:侵害指標)の一部として、ドメイン「goog1eupdate[.]com」が言及されています。別のC2アドレス「mfaupdate[.]com」へのアクセス元は、主にメキシコやインドが確認されているのに対し、「ru[.]mst[.]dns-cloud[.]net」へは、主にイスラエルやウクライナからのアクセスが確認されました。セキュリティリサーチャーのSebastien Larinier氏によると、ru[.]mst[.]dns-cloud[.]netは、キルギスを標的にした脅威アクターにより使用されていました。さらに、NTT Securityが公開した調査ブログには、「eofficeupdating[.]com」という別のC2サーバーが掲載されています。このサーバーは、ベトナムで使用されたSmanagerマルウェアのC2サーバーとして脅威アクターが使用しているものです。NTT Securityでは、Smanagerは不明なPandaグループに帰属するものと考えています。Pandaは、Deep PandaGoblin Pandaなど、中国の脅威アクターが使用する名称の一部であることが一般的です。

こうした根拠から、当社が追跡している脅威アクターは、東南アジアだけでなく、南アジア、中央アジア、メキシコにも注目していることがわかります。少なくとも、彼らはこれらの地域の攻撃者とつながりがあると言えます。

結論

南アジアの通信機関に対する攻撃の始まりは、一見、悪意のある一般的なスパムメールメッセージと思えるような簡易的なメールからでした。しかし、添付されたWord文書は悪意のあるツール「Royal Road」を搭載したもので、Equation Editorの脆弱性(CVE-2018-0798)を悪用する機能を備えています。調査時はペイロードが得られませんでしたが、OSINTの調査では、FortiGuard Labsが以前に取り上げたPoison Ivy RATが指摘されています。

我々の分析によると、アジアの組織とメキシコの一部の組織は、脅威アクターの偵察標的になり、さらにこの脅威アクターは、2021年のOperation NightScoutにも関与していたと考えられています。また、脅威アクターは、備蓄していたChinoxyやPivNoxyを使用して、遅くても2016年半ばから活動していたとされています。

フォーティネットのソリューション

次の(アンチウイルス)シグネチャでは、このブログに記載されているサンプルを検知することができます。

Chinoxy旧亜種

  • W32/Chinoxy.AP!tr
  • W32/Chinoxy.Z!tr
  • W32/Generic.AC.433BE8
  • W32/PossibleThreat

PivNoxy

  • W32/Kryptik.HHBQ!tr
  • W32/Injector.KR!tr
  • W32/Rekvex.IY!tr
  • W32/PossibleThreat

Chinoxy新亜種

  • W32/ERUG!tr
  • W32/PossibleThreat

Chinoxy旧ドロッパー

  • W32/Chinoxy.AA!tr
  • W32/Agent.BJWZYI!tr
  • W32/Daws.DIGU!tr
  • W32/Daws.EKFE!tr
  • W32/Daws.EQVO!tr
  • W32/Generic.AC.433BE8
  • W32/Kryptik.GQMK!tr
  • W32/RENOS.SM1!tr
  • W32/Zuguo.A!tr
  • RTF/CVE_2017_11882.A!exploit

PivNoxyドロッパー

  • W32/Agent.SMC!tr
  • W32/Generik.CIJIXOM!tr
  • W32/Injector.KR!tr
  • W32/Injector.SMC!tr
  • W32/Kryptik.HHBQ!tr
  • W32/Rekvex.IY!tr
  • W32/Rekvex.JOHUGYE!tr
  • W32/Rekvex.JOHUGYE!tr
  • W32/RENOS.SM1!tr
  • W32/Zuguo.A!tr

Chinoxy新ドロッパー

  • W32/Agent.ADWJ!tr
  • W32/ERUG!tr
  • W32/PossibleThreat
  • Malicious_Behavior.SB

Webフィルタリングクライアントでは、ネットワークベースのURIをすべてブロックします。

フォーティネットでは、ユーザーがフィッシング脅威を理解し検知できるようトレーニングできるソリューションを複数用意しています。

FortiPhishのフィッシングシミュレーションサービスでは実環境のシミュレーションを使用するので、組織がフィッシング脅威に対するユーザーの認識や警戒をテストできるようになり、さらに、標的型フィッシング攻撃に遭遇した場合の適切な手法をトレーニングしたり強化したりすることもできます。

これらの保護に加えて、組織においてはエンドユーザーが無償でNSEトレーニングNSE 1 – 情報セキュリティ意識を受講できるようにすることを推奨します。このトレーニングには、インターネットの脅威に関するモジュールが含まれ、エンドユーザーがさまざまなタイプのフィッシング攻撃を識別して防御する方法を学習できるようになっています。

IOC(Indicators of Compromise:侵害指標)

ファイルIOC(Indicators of Compromise:侵害指標)

Chinoxy旧亜種

  • 719f25e1fea12c8dc573e7161458ce7a5b6683dee3a49bb21a3ec838d0b35dd3
  • 75f7b6197d648eaa8263d23c8f9aa9224038259d25df073803929d6582ea27b1
  • a33dcbd2ccf291ebd465bfcd6a9be10b3d6c0d89fa5ee0038a2e41fbd6c0397d
  • 5137bc35b042c0ea2ad56f3b0e03191e840cce9e9dadb470d6a7a018f3a1a4fb
  • b0ad5af44a0a07a2408e9a6b4e4a27e366aa64350ff60f398d1b8086172034f6
  • a8c21cb9dea1c9bc62adcc6de4a73c7971ea797ab4fdb93320532647625e22ba
  • 6f7f142089b1d2e48880f59362c7c50e5d193166bdd5e4b27318133e8fe27b2c
  • 399563e798edd4a9e1a89209b1b350a4e1197786c23c0986a1a965446e7d5474
  • a8c21cb9dea1c9bc62adcc6de4a73c7971ea797ab4fdb93320532647625e22ba

PivNoxy

  • a638cce32a01f63febe2d21b02ef9f6f6c6c59e2107a043eb2ae547ff9a1d776
  • 8ceb84e33db56092618f763771630b0759d7122d5df5afaeb4c1ebc9e72ed7f1
  • a4cbae07c1d674d41c1297be4e0c19b2f138c2ef29db16b5edc528026dc4e717
  • 6ab62f7cd1c4a00c200cd130afa7352bb6e536e324cb9ead13e01e54146bb112
  • af7d3f46c32f4040dbfb6f85d6db1471e29c4a9290654d3f44351e316f05fba5
  • a557eed41c5e021209c7e3a3eada10abf43e2bfabf930552b6cb7a4b7568b971
  • d49c0d6113a9928486e35a7013d9c09a52743bd8fe84712e27c54fcac9b9e31e
  • 53c7ab494527a8118f89ba99dea51b223f98e368e687f42d31925945b0282e87

Chinoxy新亜種

  • c8934c7b3187e48b1ee44fc2c8e1c3ab19850efc1e45383442cfe4b9b4a06d01
  • d59278ff54d30176263deadcb7d21ba6f9b7eb1139e3dcd6f7ea534183f96c92

Chinoxyドロッパー

  • cdf417e67b0aaf798ac7c0f9ccb8b5b21f09b408ee6748beea5e03e76902e7fe
  • f8a8ccfa6426f27da75649dbef26213aae6137f726d29232e45e4183391016bf
  • 9f93a50cadd762d36788ce1c8d5deb2d26e109f717f3e2d4d5c8f0d3344de725
  • a8f1e7eccae75e840b1d6982b06ee322ceaed65ade23a10d17c8414e5a522110
  • 6a8ba940d40be935ffc623b5fadfdb4537c1787fedf5889021b0ceb65dfa809d
  • 59ea7516b2a028e5cad938534099f45b5d28f7cfa32d268a8bdcbe5f6320b5a6
  • 07a37e52533bf26f5d506c69e748f479de5dcd416103f8d7a4a06c948e1051ad
  • 152f95a5bdf549c5ca789d0dd99d635ee69cca6fe464ced5b39d0316707a4914
  • 947760b4f688863708741457297d74810ad45e20e2c02d91b54b056716803777
  • 3f21e0b3ef80fd9393c6e187311a78aee22738f510ed227397249157b131b890
  • 3c9d802f617aab4c6973cef74d2509fea00ee8454681c40df09a4734946e5125
  • 82f8cf41aa720e268ee0c6e43cd52512ea4a2f98a51844071e0faaf1eb13ce62

PivNoxyドロッパー

  • 2bebd0989d1d8c6bb681217399281640521d61ce207f358a4340377898ed44c5
  • 6485d76e645d2f7e27a20d072f07c282583f21ec42801de588193d01b591a957
  • 8dfda79f7848a41f0a8f7a68096fcb6783ace3f3430ae3d7d05fed1ad4533fe0
  • 86c563a8630150934ae7468e074f81914d26b978c32571ce9f4d9b349dc03349
  • 72a7341805713327f09f881bc7184610ed28101bfbda93fd829d0d52978c22eb
  • 4d9af80dad6dcdfe37931094c42296d53ef6d98b633db32503d7972fd7e0e3f6
  • e537b6eb903d9bb9b3cb0e63f9fddf2afa0875af7558b5bec3c98cebf1452e01
  • c25ae716a651c7c846871275bfde7188224628e3380fd6f256aacba1cb15ad61
  • 289ce24d873986d607ab8e43f499be562fa4925d2b5be16bb31ce68a00b4020a
  • f229239ed7665338961eec60a17bcca0fed1eb957b0e751dd991ce664140d79c
  • 5c2a6b11d876c5bad520ff9e79be44dfbb05ee6a6ff300e8427deab35085bef6

Chinoxy新ドロッパー

  • ab49e15c0a0e4f977748faae36255889c2239cde847ed49304881c123b9a0e99
  • 8d7d259ac375171c59ac81ba9a16949ac7277c8ed3841c229ce48def0358c96e
  • a8d92ace0ea438759428877a32cd92f73790d86d0e3384317c04a9ae4ed30c55
  • c44be5ed5c4bec2be72ce9737bde5a2d48fe5fb0ea235ddc61ba447b26642949
  • d863f559ba323625f20721e910bf920ee73a5303f6edadbec2aa670b640e01c8
  • f309b42845ca3e36e0bb6ec68f424a11ff8f77642afc3bd4425118dc0d2514e0

ネットワークIOC(Indicators of Compromise:侵害指標)

  • goog1eupdate[.]com
  • myhost[.]camdvr[.]org
  • mfaupdate[.]com
  • eofficeupdating[.]com
  • 58[.]64[.]184[.]201
  • cdn[.]cloudistcdn[.]com
  • q.cloudistcdn.com
  • beautygirl[.]dynamic-dns[.]net
  • 784kjsuj[.]dynamic-dns[.]net
  • frontbeauty[.]dynamic-dns[.]net
  • instructor[.]giize[.]com

MITRE

リソース開発

T1854.004

インフラストラクチャのセキュリティ侵害:サーバー

初期アクセス

T1566.001

フィッシング:スピアフィッシングの添付ファイル

T1195.002

フィッシング:ソフトウェアサプライチェーンのセキュリティ侵害

実行

T1203

クライアント実行のエクスプロイト

T1053.005

スケジュールされたタスクまたはジョブ:スケジュールされたタスク

T1201.002

ユーザーによる操作:不正ファイル

T1543.003

システムプロセスの作成または変更:Windowsサービス

存続

T1574.001

実行フローのハイジャック:DLL検索順序ハイジャック

T1053.005

スケジュールされたタスクまたはジョブ:スケジュールされたタスク

T1547.001

自動起動実行の起動またはログオンRunレジストリキー / スタートアップフォルダ

T1547.014

自動起動実行の起動またはログオンセットアップのアクティブ化

権限の昇格

T1574.001

実行フローのハイジャック:DLL検索順序ハイジャック

T1055.001

プロセスインジェクション:ダイナミックリンクライブラリインジェクション

T1053.005

スケジュールされたタスクまたはジョブ:スケジュールされたタスク

T1547.001

自動起動実行の起動またはログオンRunレジストリキー / スタートアップフォルダ

T1547.014

自動起動実行の起動またはログオンセットアップのアクティブ化

防御の回避

T1140

ファイルや情報の難読化解除 / 復号化

T1574.001

実行フローのハイジャック:DLL検索順序ハイジャック

T1055.001

プロセスインジェクション:ダイナミックリンクライブラリインジェクション

T1112

レジストリの変更

T1027

ファイルや情報の難読化

認証情報へのアクセス

T1056.001

入力キャプチャ:キーロギング

検知

T1010

アプリケーションウィンドウの検知

収集

T1005

ローカルシステムからのデータ

T1074.001

データステージ:ローカルデータステージング

T1056.001

入力キャプチャ:キーロギング

コマンド&コントロール機能

T1573.001

チャネルの暗号化:対称暗号

T1105

入力ツールの転送

外部への持ち出し

T1041

C2チャンネルからの情報漏洩


FortiGuard Labsでは、Cyber Threat Allianceの役割の1つとして、脅威となる「Chinoxy」や「PivNoxy」と呼ばれるマルウェアファミリーに関するプレイブックを新たに公開します。CTAメンバーによって作成される「Adversary Playbook(攻撃者プレイブック)」の詳細については、「Cyber Threat Alliance Playbook Whitepaper(Cyber Threat Allianceプレイブックホワイトペーパー:英語)」を参照してください。