Zscalerのブログ
Zscalerの最新ブログ情報を受信
チベット コミュニティーに攻撃を仕掛けた中国系APTグループ
攻撃の概要
2025年6月、Zscaler ThreatLabzはTibCERTと協力し、チベット コミュニティーを標的とした2つのサイバー攻撃キャンペーンを調査しました。Operation GhostChatとOperation PhantomPrayersと名付けられたこれらの攻撃は、中国と関係のあるAPTグループによって実行されたことが判明しました。攻撃者はダライ・ラマ90歳の誕生日を機に活発化したオンラインでの議論や活動に狙いを定め、多段階攻撃を通じてマルウェアを拡散しました。このブログでは、攻撃者が正規のWebサイトを改ざんして悪意のあるリンクを埋め込み、ユーザーをリダイレクトさせ、最終的にGhost RATやPhantomNet (SManager)のバックドアをシステムにインストールした手口について解説します。
Zscaler ThreatLabzは、この調査にご協力いただいたTibCERTチームに感謝します。
重要なポイント
- ThreatLabzは、ソーシャル エンジニアリングを用いた標的型のマルウェア侵入を確認しました。攻撃者はダライ・ラマ90歳の誕生日に関連したチベット コミュニティーの活動を悪用し、Webページを改ざんして攻撃者の管理下にあるサイトへ誘導しました。
- Operation GhostChatとOperation PhantomPrayersはそれぞれ、複数段階にわたる感染チェーンを用いてGhost RATとPhantomNetのバックドアを展開しました。これらの感染チェーンでは攻撃を実行するために、DLLサイドローディング、シェルコード インジェクション、暗号化されたペイロードが使用されました。
- この攻撃キャンペーンは、コード インジェクション、低レベルAPIの悪用、ユーザー モードAPIフックの上書きなどの技術を駆使し、エンドポイント セキュリティ ソリューションを回避しました。
- チベットのコミュニティーを標的とした攻撃の特徴、Ghost RATとPhantomNetの使用、そしてカスタマイズされたTTPの展開から、ThreatLabzはこれらの攻撃キャンペーンが中国系APTグループによって実行された可能性が高いと判断しました。
要旨
チベットにおいて重要な文化的イベントであるダライ・ラマ90歳の誕生日(7月6日)を前に、数週間にわたってサイバー攻撃が激化しました。この背景には、誕生日に関連するオンライン活動の急増がありました。このタイミングを狙った攻撃者は、Operation GhostChatとOperation PhantomPrayersを仕掛け、niccenter[.]netの複数のサブドメインを悪用して正規のプラットフォームを装いました。これらのサブドメインは、チベット関連のテーマでターゲットを誘導し、悪意のあるソフトウェアをダウンロードさせるために用いられました。その結果、複数段階の感染チェーンが開始され、最終的にGhost RATやPhantomNet (SManager)のバックドアが展開されました。これらのバックドア ツールは、一般的に中国政府が支援する脅威グループと関連付けられています。
Operation GhostChat
2025年6月、脅威アクターはWebサイトを改ざんし、正規リンク(tibetfund.org/90thbirthday)を悪意のあるリンクに差し替えました。元のリンクは、チベット コミュニティーのメンバーにダライ・ラマへの祝辞を送るよう呼びかける正規のWebページに誘導するものでしたが、悪意のあるリンクはthedalailama90.niccenter[.]netにホストされた不正なページにリダイレクトさせる仕組みになっていました。この偽のページは、元のtibetfund.orgを巧妙に模倣して作成されていました。
以下の図は、正規のWebページと脅威アクターが作成した悪意のある複製ページを比較したものです。
図1:正規のチベット語のWebページと、脅威アクターが作成した悪意のある複製ページを並べて比較したもの。
悪意のあるWebページでは暗号化チャット アプリをダウンロードできるようになっていますが、これはターゲットとなるユーザーに安全な通信のもとでチベット コミュニティーの他のメンバーとつながれると信じ込ませるために作成されたものです。この[チャット]オプションをクリックすると、ユーザーはtbelement.niccenter[.]netにリダイレクトされ、広く利用されているオープンソースの暗号化チャット アプリ「Element」のバックドアが仕込まれたバージョンをダウンロードするように求められます。
以下の図は、Elementメッセージング アプリを装ってユーザーを誘導するために脅威アクターが作成したWebページです。
図2:脅威アクターが作成した、Elementメッセージング アプリケーションのバックドア バージョンを配布するためのWebページ。
このWebページには、訪問者のIPアドレスとユーザー エージェント情報を収集するように設計されたJavaScriptコードも含まれています。WebRTCでユーザーのIPアドレスを取得し、HTTP POSTリクエストを介して、収集された情報を同じサーバーでホストされたPHPスクリプトであるsave_ip.phpに送信します。
以下の図は、この処理を実行するJavaScriptコードを示しています。
図3:ユーザーのIPアドレスとユーザー エージェント情報を収集するためにWebページで用いられるJavaScriptコード。
図2に示したWebページで[ダウンロード]ボタンをクリックすると、https://tbelement.niccenter[.]net/Download/TBElement.zipからZIPアーカイブがダウンロードされます。
TBElement.zipには、正規のメッセージング アプリケーションであるElementに関連する複数のコンポーネントが含まれています。ただし、正規のDLLであるffmpeg.dllは悪意のあるDLLに差し替えられています。デジタル署名された正規のファイルであるElement.exeはDLLサイドローディングに対して脆弱であるため、実行時に悪意のあるffmpeg.dllを自動的に読み込みます。
以下の図は、攻撃チェーンに含まれる複数の段階を示しています。
図4: Operation GhostChatにおける複数段階の攻撃チェーン。
以下の技術分析では、攻撃チェーンの各段階、GhostChatがコマンド&コントロール(C2)通信を制御する仕組みを解説します。
第1段階:シェルコード ローダー
ffmpeg.dllファイルは第1段階で利用されるローダーであり、埋め込まれたシェルコードを読み込み、それを攻撃実行用のプロセスに注入して実行します。さらに、ffmpeg.dllは、Windowsレジストリーに値を追加することで、侵害されたマシンに永続性を確立します。
以下の表は、ffmpeg.dllファイルの主な機能をまとめたものです。
機能 | 説明 |
|---|---|
API解決 | API名はバイナリーにプレーン テキストとして保存されており、ハッシュ アルゴリズムは使用されていません。APIアドレスを解決する際には、読み込まれたモジュールのエクスポート ディレクトリーをスキャンし、API名と照合します。 脅威アクターは、Nt*やRtl*などのあまり一般的ではないWindowsネイティブAPIを悪用しています。これはおそらくユーザー モードAPIの不審なアクティビティーの監視に特化したEDRソリューションによる検出を回避するためと考えられます。 |
ntdll.dllをディスクから読み込み、メモリーにマッピング | 第1段階のシェルコード ローダーは、ntdll.dllの潜在的なユーザー モードAPIフックやメモリー ブレイクポイントを回避するために、ディスクから新しいコピーのntdll.dllを読み込み、それをメモリーにマッピングします。このプロセスの詳細は以下のとおりです。
このプロセスにより、エンドポイント セキュリティ ソリューションがユーザー モードのntdll.dllに追加したAPIフックや変更がすべて上書きされます。 |
コード インジェクション | 第1段階のシェルコード ローダーは、共有メモリー セクションベースのコード インジェクションを使用し、Windowsの正規プロセスであるImagingDevices.exeに32ビットのシェルコードを注入します。この手法では、セキュリティ ソリューションによる検出を最小限に抑えるために低レベルAPIが使用されます。手順は以下のとおりです。
この手法では、シェルコードが攻撃実行用のプロセスに密かに注入されます。 |
レジストリーを悪用した永続化 | 永続性を確保するために、マルウェアは以下のパスにレジストリー値を追加します。
|
表1: ffmpeg.dllファイルの主な機能。
第2段階:リフレクティブ ローダー
第2段階のシェルコードには、NRV2Dで圧縮された実行ファイルが含まれています。この圧縮技術は、一般的なUPXパッカーで利用されるものです。検出を回避するために、実行ファイルのPEヘッダーに含まれるMZとPEのマジック バイトはそれぞれ0xdと0xaに置き換えられます。
シェルコードはVirtualAllocを使用してPAGE_EXECUTE_READWRITE権限を持つメモリーを割り当て、このメモリー領域に第3段階の実行ファイルをリフレクティブに読み込み、エントリー ポイントから実行します。
第3段階:Ghost RAT
第3段階の実行ファイルは、Ghost RATの亜種です。このファイルに埋め込まれた構成データは、RC4に似ているものの大幅に改変されたカスタム アルゴリズムで暗号化されています。この実装ではビット単位の演算が追加され、キー スケジューリング アルゴリズム(KSA)が変更されているため、提供されたキーは暗号化や復号に影響を与えません。構成を復号するためのPythonコードは、ZscalerのGitHubリポジトリーで公開されています。
C2通信
Ghost RATは、TCPのバイナリー プロトコルを用いて104.234.15[.]90:19999にあるC2サーバーと通信します。この亜種は、一般的な「Gh0st」ではなく「KuGou」というラベルの付いたカスタム パケット ヘッダーを使用し、構成データの暗号化に用いたRC4に似たアルゴリズムでトラフィックを暗号化します。
悪意のある機能は主にconfig.dllという名前のプラグインDLLのエクスポート関数に実装されています。このDLLはC2サーバーからダウンロードされ、C:\Users\Public\Documents\config.dllディスクに保存されます。ウイルス対策の静的スキャンを回避するために、DLLは1バイトのキー(0x15)でXORエンコードされており、マルウェアによって読み込まれる場合にのみデコードされます。
C2サーバーから正確なDLLを取得できなかったため、KuGouの亜種DLL (MD5: 7b9a808987d135e381f93084796fd7c1)を分析し、Ghost RATのソース コードと比較することでその機能を推測しました。
以下は、この亜種がサポートするC2コマンドをまとめた表です。
コマンドID | 機能 | ソース コード クラス |
|---|---|---|
0x0 | C2との接続が成功したことを示すフラグを設定します。 | CKernelManager |
0x1 | プラグインDLL内の | CFileManager |
0x2 | プラグインDLL内の | CScreenManager |
0x3 | プラグインDLL内の | CVideoManager |
0x4 | プラグインDLL内の | CKeyboardManager |
0x5 | プラグインDLL内の | CAudioManager |
0x6 | プラグインDLL内の | CSystemManager |
0x7 | プラグインDLL内の | CShellManager |
0x8 |
| N/A |
0x9 | プロセスを終了します。 | N/A |
0xD |
| N/A |
0xF |
| N/A |
0x13 | プラグインDLL内の | N/A |
0x14 | サンプル内でハードコードされたプラグインDLLのパスである | N/A |
0x15 | プラグインDLL内の | CSysInfo |
0x16 | プラグインDLL内の | CSerManager |
0x17 | プラグインDLL内の | CRegistry |
表2: Ghost RATのKuGou亜種でサポートされているコマンドのリスト。
Operation PhantomPrayers
2025年6月、脅威アクターはhhthedalailama90.niccenter[.]netという新たなサブドメインを悪用し、「Special Prayer Check-in (特別な祈りのチェックイン)」ソフトウェアを装った悪意のあるアプリケーションを配布しました。
この悪意のあるバイナリーは、http://hhthedalailama90.niccenter[.]net/DalaiLamaCheckin.exeのURLにホストされており、PyQT5フレームワークとPythonのデータ可視化ライブラリーであるFoliumで構築され、PyInstallerで実行ファイルとしてパッケージ化されたアプリケーションです。
このバイナリーによって、ターゲットにグラフィカル ユーザー インターフェイス(GUI)が表示され、ユーザー名とメール アドレスを入力してチェックインするように促されます。さらに、GUIにはチェックイン済みの他のユーザーを示すインタラクティブな地図も表示することで、攻撃者が仕掛けたソーシャル エンジニアリングをより信頼できるものに見せかけています。しかし、その裏側では悪意のあるアクティビティーが実行されていました。
以下の図は、DalaiLamaCheckin.exeの実行時にターゲットに表示されるグラフィカル ユーザー インターフェイス(GUI)を示しています。
図5: DalaiLamaCheckin.exeの実行時に表示されるグラフィカル ユーザー インターフェイス(GUI)。
以下の表は、このバイナリーの主な機能をまとめたものです。
機能 | 説明 |
|---|---|
ディレクトリーの作成 |
|
DLLサイドローディングによる感染チェーン | 感染チェーンの次の段階に進むために、以下のコンポーネントを指定されたディレクトリーにコピーします。
|
永続化 | STARTUPディレクトリーにWindowsショートカット ファイルのBirthday Reminder.lnkを作成することで、永続化を確立します。このショートカットのターゲット パスは |
PyQT5で作成されたチェックイン用の画面とAPI統合 | PyQT5で作成されたGUIを表示し、ターゲット ユーザーにチェックインを促します。この画面では、ユーザー名とメール アドレスを入力するよう求められます。チェックインが完了すると、カスタムHTTPヘッダー「X-API-KEY: m1baby007」を含むHTTP GETリクエストが104.234.15[.]90:59999/api/checkinsに送信されます。 |
Foliumによるデータの可視化 | Pythonの可視化ライブラリーであるFoliumを利用し、104.234.15[.]90:59999/api/checkinsからチェックイン データをダウンロードします。データは解析され、ユーザー名と場所が抽出されます。そして、 |
表3: PhantomPrayersバイナリーの主な機能。
この情報は、サーバー側で以下のJSON形式で記録されます。
{
"username": "",
"lat": "",
"lon": "",
"location": "",
"timestamp": "",
"ip": "",
"email": ""
}サーバーからダウンロードしたチェックイン データは、ZscalerのGitHubリポジトリーで公開されています。ほとんどのユーザー名に紐付くIPアドレスはISPではなくホスティング プロバイダーに属しているため、これらのエントリーの大部分は脅威アクターによってねつ造されたものと考えられます。
以下は、PyInstallerで逆コンパイルされたコード内に含まれる構成情報です。
BACKEND_URL = 'http://104.234.15.90:59999/api'
CHECKIN_URL = f'{BACKEND_URL}/checkin'
CHECKINS_URL = f'{BACKEND_URL}/checkins'
API_KEY = 'm1baby007..'
API_HEADERS = {'X-API-KEY': API_KEY}
BIRTHDAY_VENUE_COORDS = [32.232513887581284, 76.32422089040426]
MAP_HTML_FILE = os.path.join(tempfile.gettempdir(), 'map.html')
APP_NAME_IN_APPDATA = 'DalaiLamaBirthdayCheckin'Operation PhantomPrayersの攻撃チェーンは、Operation GhostChatと類似していますが、第2段階のローダー シェルコードが第1段階に埋め込まれるのではなく、暗号化されて外部の.tmpファイルに保存される点で大きく異なります。以下の図に、Operation PhantomPrayersの攻撃チェーンを示します。
図6: Operation PhantomPrayersにおける複数段階の攻撃チェーン。
第1段階:シェルコード ローダー
VLC.exeが実行されると、同じディレクトリーから悪意のあるlibvlc.dllをサイドロードします。第1段階のローダー コードは、エクスポート関数のlibvlc_newに存在し、この関数がディレクトリー内の.tmpファイルに保存された次段階のシェルコードを復号して実行します。
.tmpファイル内のシェルコードは、以下の2つのレイヤーで暗号化されます。
- レイヤー1:ハードコードされた16バイトのキーと初期化ベクトル(IV)を用いたRC4暗号化。
- レイヤー2:同じ16バイトのキーとIVを用いたAES-128 (CBCモード)暗号化。
復号コードは以下のとおりです。
from Crypto.Cipher import ARC4
from Crypto.Cipher import AES
with open(".tmp", "rb") as f:
encrypted_shellcode = f.read()
rc4_key = b'\x0F\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0A\x0B\x0C\x0D\x0E\x0F'
rc4_cipher = ARC4.new(rc4_key)
rc4_decrypted = rc4_cipher.decrypt(encrypted_shellcode)
aes_key = b'\x01\x02\x03\x09\x04\x05\x06\x07\x08\x09\x0A\x0B\x0C\x0D\x0E\x0F'
aes_iv = b'\x01\x02\x03\x09\x04\x05\x06\x07\x08\x09\x0A\x0B\x0C\x0D\x0E\x0F'
aes_cipher = AES.new(aes_key, AES.MODE_CBC, aes_iv)
rc4_decrypted = rc4_decrypted + b"\x00"
decrypted_shellcode = aes_cipher.decrypt(rc4_decrypted)
with open("decrypted_shellcode.bin", "wb") as f:
f.write(decrypted_shellcode)
第2段階:リフレクティブ ローダー
このシェルコードは、Operation GhostChatの感染チェーンで使用されるものと同様に、埋め込まれた実行ファイルを解凍し、メモリーに読み込んで実行することのみを目的として設計されています。
第3段階:PhantomNet
最終的なペイロードは32ビットの実行ファイルであり、PhantomNetバックドアの亜種です。このペイロードに埋め込まれた構成情報は、ハードコードされた10バイトのキー(6B B2 95 27 66 66 74 6B A1 86)でXORエンコードされており、C2サーバーの「45.154.12[.]93」とポート「2233」を文字列として含みます。このサンプルではC2通信にTCPを使用していますが、HTTPS通信を使用するように構成することも可能です。C2トラフィックは、構成内の文字列を基に生成されたキーを使ったAES暗号化によって保護されます。
PhantomNetは特定の時間や曜日のみに動作するよう設定できますが、今回のサンプルではこの機能は有効化されていません。このバックドアは、感染したシステム上でアクションを実行するために、C2サーバーから配信されるプラグインDLLに依存しています。
このサンプルのコマンドと機能は、ESETの研究者が2020年に報告したOperation SignSightキャンペーンのものと一致するため、マルウェアの詳細については説明を省略します。
脅威の属性
ThreatLabzは両キャンペーンの標的となった被害者とマルウェアを分析し、その結果、Operation GhostChatとOperation PhantomPrayersが中国政府支援のサイバー スパイ グループによって実行された可能性が高いと結論付けました。
Ghost RATの亜種は、国家支援型の脅威グループを含む、中国語圏のさまざまな脅威アクターによって広く使用されています。PhantomNetは、他の研究者によって中国と関係のあるAPTグループであるTA428によるものとされていますが、このマルウェアがそのグループのみに関連しているのか、それとも他の中国関連の攻撃者によっても利用されているのかは明らかではありません。
以下のダイヤモンド モデルは、このキャンペーンの主な属性を示しています。
図7: Ghost RATとPhantomNetを配布し、チベット コミュニティーを標的としたキャンペーンの主な属性を示したダイヤモンド モデル。
まとめ
Zscaler ThreatLabzとTibCERTの協力により、Webサイトの改ざん、DLLサイドローディングの脆弱性、Ghost RATとPhantomNetバックドアの展開など、チベット コミュニティーを標的とした両方の攻撃に共通する手口が明らかになりました。どちらのキャンペーンも、ユーザー モードの検出メカニズムを回避するために低レベルAPIとネイティブWindows関数呼び出しを採用する、シェルコード ローダーを利用していました。PhantomNetは、モジュール式のプラグインDLL、AESで暗号化されたC2トラフィック、構成可能な時間指定操作により、侵害されたシステムを密かに管理していました。
Zscaler ThreatLabzはこれらの高度な標的型攻撃(APT)グループのTTPを継続的に監視および分析し、同様の脅威に対する検出と対策の強化に取り組んでいます。
Zscalerの対応範囲
Zscalerの多層型クラウド セキュリティ プラットフォームは、このブログで取り上げた標的型攻撃に関連するさまざまなレベルの指標を以下の脅威名で検出しています。
MITRE ATT&CKフレームワーク
ID | 戦術 | 説明 |
|---|---|---|
T1106 | ネイティブAPI | 第1段階のローダーはコード インジェクションと実行時に低レベルAPIを使用します。 |
T1204.002 | ユーザーによる実行:悪意のあるファイル | 被害者はトロイの木馬化されたソフトウェアを実行させられ、攻撃チェーンが開始されます。 |
T1547.001 | ブートまたはログオン時の自動実行:レジストリーRunキー/スタートアップ フォルダー | 第1段階のローダーによってレジストリーの永続化が設定されます。 |
T1574.001 | 実行フローの乗っ取り:DLL | DLLサイドローディングを使用して第1段階のローダーが実行されます。 |
T1055.002 | プロセス インジェクション:ポータブル実行ファイルへの注入 | 第1段階のローダーが、第2段階のシェルコードをC:\Program Files (x86)\Windows Photo Viewer\ImagingDevices.exeに注入します。 |
T1036 | 偽装 | ユーザーにダウンロードさせるソフトウェアは、チベット コミュニティーに役立つツールのように偽装されています。 |
T1027.007 | 難読化されたファイルや情報:動的なAPI解決 | 第1段階と第2段階のローダーでAPIが動的に解決されます。 |
T1027.009 | 難読化されたファイルや情報:埋め込みペイロード | 第1段階と第2段階のローダーには、次の段階が内部に埋め込まれています。 |
T1027.015 | 難読化されたファイルや情報:圧縮 | 第3段階の実行ファイルは圧縮され、第2段階のシェルコードに埋め込まれます。 |
T1620 | リフレクティブ コードの読み込み | 第2段階のローダーがリフレクティブ コード ローディングを用いて、第3段階の実行ファイルを読み込みます。 |
T1070.001 | 痕跡消去:Windowsイベント ログの消去 | Ghost RATは、Windowsイベント ログを消去するコマンドをサポートしています。 |
T1056.001 | 入力キャプチャー:キーロギング | Ghost RATは、キーロギングをサポートしています。 |
T1083 | ファイルとディレクトリーの探索 | Ghost RATは、ファイルとディレクトリーの列挙をサポートしています。 |
T1057 | プロセスの探索 | Ghost RATは、プロセスの列挙をサポートしています。 |
T1012 | レジストリーのクエリー | Ghost RATは、レジストリー キーのクエリーと変更をサポートしています。 |
T1518.001 | ソフトウェアの探索:セキュリティ ソフトウェアの探索 | PhantomNetは、WMI経由でウイルス対策製品を列挙します。 |
T1082 | システム情報の探索 | Ghost RATとPhantomNetは、OSのバージョンやマシン名などのシステム情報を収集できます。 |
T1033 | システム所有者/ユーザーの探索 | Ghost RATは、ユーザー列挙をサポートしています。 |
T1123 | 音声キャプチャー | Ghost RATは、音声キャプチャーをサポートしています。 |
T1115 | クリップボード データ | Ghost RATは、クリップボード データの収集をサポートしています。 |
T1005 | ローカル システムのデータ | Ghost RATは、ローカル ファイルを読み取ることができます。 |
T1113 | 画面キャプチャー | Ghost RATは、画面キャプチャーをサポートしています。 |
T1125 | 映像キャプチャー | Ghost RATは、Webカメラの映像キャプチャーをサポートしています。 |
T1573.001 | 暗号化チャネル:対称暗号化 | Ghost RATは、対称暗号化アルゴリズムを用いてC2トラフィックを暗号化します。 |
T1095 | 非アプリケーション層プロトコル | Ghost RATとPhantomNetは、TCP経由のC2通信にカスタム バイナリー プロトコルを使用します。 |
T1071.001 | アプリケーション層プロトコル:Webプロトコル | PhantomNetは、HTTPやHTTPS経由のC2通信をサポートしています。 |
T1529 | システムのシャットダウン/再起動 | Ghost RATは、感染したマシンをシャットダウンするコマンドをサポートしています。 |
侵害の痕跡(IoC)
ファイルの痕跡
MD5ハッシュ | SHA1ハッシュ | SHA256ハッシュ | ファイル名 | 説明 |
|---|---|---|---|---|
42d83a46250f788eef80ff090d9d6c87 | ff9fddb016ec8062180c77297d478b26d65a7a40 | 0ad4835662b485f3a1d0702f945f1a3cf17e0a5d75579bea165c19afd1f8ea00 | TBElement.zip | 悪意のあるZIPアーカイブ |
5b63a01a0b3f6e06dd67b42ad4f18266 | 71f09721792d3a4f1ea61d1f3664e5a503c447b2 | d896953447088e5dc9e4b7b5e9fb82bcb8eb7d4f6f0315b5874b6d4b0484bd69 | Element.exe | DLLサイドローディングに対して脆弱な正規の実行ファイル
|
998dd032b0bb522036706468eca62441 | 25cb602e89b5d735776e2e855a93915714f77f01 | 037d95510c4aa747332aa5a2e33c58828de4ad0af8a1e659a20393f2448e48d7 | ffmpeg.dll | 悪意のあるDLL
|
a17092e3f8200996bdcaa4793981db1f | ca6845e4ac8c0e45afc699557ad415339419bfe0 | 98d30b44560a0dde11927b477b197daf75fb318c40bdeed4f9e27235954f9e71 | N/A | 第2段階のシェルコード ローダー |
1244b7d19c37baab18348fc2bdb30383 | 365888661b41cbe827c630fd5eea05c5ddc2480d | 1e5c37df2ace720e79e396bbb4816d7f7e226d8bd3ffc3cf8846c4cf49ab1740 | N/A | PEヘッダー修正後の第3段階の実行ファイルであるGhost RAT
|
a139e01de40d4a65f4180f565de04135 | e089daa04cceb8306bc42e34a5da178e89934f45 | a0b5d6ea1f8be6dbdbf3c5bb469b111bd0228bc8928ed23f3ecc3dc4a2c1f480 | DalaiLamaCheckin.exe | 悪意のある祈りのチェックイン ソフトウェア |
81896b186e0e66f762e1cb1c2e5b25fc | 10a440357e010c9b6105fa4cbb37b7311ad574ea | 9ffb61f1360595fc707053620f3751cb76c83e67835a915ccd3cbff13cf97bed | VLC.exe | デジタル署名された正規の実行ファイル |
5ad61fe6a92d59100dc6f928ef780adb | 11be5085f6ddc862cabae37c7dbd6400fb8b1498 | f6b42e4d0e810ddbd0c1649abe74497dad7f0e9ada91e8e0e4375255925dd4d2 | libvlc.dll | 悪意のあるDLL |
32308236fa0e3795df75a31bc259cf62 | 40ef100472209e55877b63bf817982e74933b3f8 | 45fd64a2e3114008f400bb2d9fa775001de652595ffe61c01521eb227a0ba320 | .tmp | 暗号化された第1段階のシェルコード
|
26240c8cfbb911009a29e0597aa82e6c | a03527b2a2f924d3bc41636aa18187df72e9fe03 | 8809b874da9a23e5558cc386dddf02ea2b9ae64f84c9c26aca23a1c7d2661880 | N/A | 第2段階のシェルコード ローダー |
a74c5c49b6f1c27231160387371889d3 | fb32d8461ddb6ca2f03200d85c09f82fb6c5bde3 | c9dac9ced16e43648e19a239a0be9a9836b80ca592b9b36b70d0b2bdd85b5157 | N/A | PEヘッダー修正後の第3段階のPhantomNet
|
ネットワークの痕跡
タイプ | 痕跡 |
|---|---|
悪意のあるドメイン | thedalailama90.niccenter[.]net |
悪意のあるドメイン | tbelement.niccenter[.]net |
悪意のあるドメイン | beijingspring.niccenter[.]net |
悪意のあるドメイン | penmuseum.niccenter[.]net |
悪意のあるホスティングURL | tbelement.niccenter[.]net/Download/TBElement.zip |
Ghost RATのC2サーバー | 104.234.15[.]90:19999 |
ペイロード ホスティングURL | http://hhthedalailama90.niccenter[.]net/DalaiLamaCheckin.exe |
チェックイン サーバー | http://104.234.15[.]90:59999/api |
PhantomNetのC2サーバー | 45.154.12[.]93:2233 |
ホストの痕跡
タイプ | 痕跡 |
|---|---|
PhantomNetを実行するためにDalaiLamaCheckin.exeによってインストールされたファイル | %appdata%\Birthday\VLC.exe %appdata%\Birthday\libvlc.dll %appdata%\Birthday\.tmp %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Birthday Reminder.lnk |
Ghost RATまたはPhantomNetを実行するためにコードが注入されたプロセス | ImagingDevices.exe |
免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。
おすすめのブログ
Latest Mustang Panda Arsenal: ToneShell and StarProxy | P1
Latest Mustang Panda Arsenal: PAKLOG, CorKLOG, and SplatCloak | P2
DodgeBox: A deep dive into the updated arsenal of APT41 | Part 1
MoonWalk: A deep dive into the updated arsenal of APT41 | Part 2
From Pyongyang to Your Payroll: The Rise of North Korean Remote Workers in the West
