NOBELIUM の最新のアーリー ステージ ツールセットの分析

以前のブログ投稿で報告したように、脅威アクターNOBELIUMは最近、2021 年初頭から運用および進化している電子メール ベースの攻撃を強化しました。私たちはこのアクティブな攻撃を監視し続けており、追加の詳細が利用可能になり次第投稿する予定です。このブログでは、NOBELIUM が利用する独自の感染チェーンを表す 4 つのツール、EnvyScout、BoomBox、NativeZone、および VaporRage を取り上げます。これらのツールは、2021 年 2 月には実際に使用されていることが確認されており、さまざまな機密性の高い外交および政府機関への足がかりを得ようとしています。

このブログの一環として、Microsoft Threat Intelligence Center (MSTIC) は、コミュニティが NOBELIUM の最新の操作をよりよく調査して理解できるように、侵害の痕跡(IOC) の付録をリリースしています。

注: このアクティビティに関連する NOBELIUM の侵害の痕跡 (IOC) は、 MSTIC GitHubの CSV で入手できます。

更新 [2021 年 6 月 1 日]: MD5 ハッシュを含めるようにNOBELIUM IOCを更新しました。

この洗練された NOBELIUM 攻撃には、特定、調査、および対応するための包括的なインシデント対応が必要です。 https://aka.ms/nobeliumで Microsoft から最新の情報とガイダンスを入手してください。また、Microsoft 365 Defender の関連するアラートの概要を説明したので、セキュリティ チームは、アクティビティに調査のフラグが立てられているかどうかを確認できます。

このブログで取り上げた NOBELIUM ツールはいずれも柔軟性を考慮して設計されており、攻撃者は時間の経過とともに運用上の課題に適応できます。その技術的な詳細は前例のないものではありませんが、NOBELIUM の運用上のセキュリティの優先順位は、このツールセットの設計に影響を与えた可能性が高く、潜在的に高リスクで視認性の高い環境で活動するアクターにとって好ましい機能を示しています。これらの攻撃者のセキュリティの優先事項は次のとおりです。

• 信頼できるチャネルの使用: BoomBox は独自に開発されたダウンローダーで、攻撃者が制御する Dropbox アカウントから後期のペイロードを取得するために使用されます。最初の通信はすべて、HTTPS 経由で Dropbox API を利用します。
• 抑制の機会: NOBELIUM、BoomBox、VaporRage、および NativeZone の一部の亜種が使用する他のツールと一致して、影響を受けるシステムの環境である程度のプロファイリングを実行します。 MSTIC は現在、これらのツールがサーバー側コンポーネントの恩恵を受けるかどうかを認識していません。この設計により、NOBELIUM が標的を選択的に選択し、攻撃者が慣れていない環境でインプラントを実行した場合に、潜在的な発見について一定レベルの理解を得ることができる可能性があると考えられます。
• あいまいさ: VaporRage は、第 3 段階のペイロードと見なされる独自のシェルコード ローダーです。 VaporRage は、任意のペイロードを完全にインメモリでダウンロード、デコード、および実行できます。侵害された Web サイトでのペイロードのステージングも含む、このような設計と展開のパターンは、従来のアーティファクトとフォレンジック調査を妨げ、固有のペイロードが発見されないままになることを可能にします。

NOBELIUM は、迅速な運用テンポで動作するアクターであり、一時的なインフラストラクチャ、ペイロード、およびメソッドを利用してアクティビティを難読化することがよくあります。 NOBELIUM は、定期的なキャンペーンでよく紹介される重要な運用リソースを利用できるのではないかと考えています。 12 月以降、セキュリティ コミュニティは、Microsoft が特定した GoldMax、GoldFinder、Sibot マルウェア、TEARDROP ( FireEye )、SUNSPOT ( CrowdStrike )、Raindrop ( Symantec ) など、攻撃者に起因するペイロードのコレクションが増えていることを特定しました。最近では FLIPFLOP ( Volexity ) です。

2020 年後半に SolarWinds 攻撃が公開されて以来、コミュニティの認知度が高まっているにもかかわらず、NOBELIUM は世界中の政府機関や外交機関を標的にし続けています。これらの作戦が進行するにつれて、NOBELIUM は引き続きツールと戦術を成熟させ、世界中の視聴者をターゲットにすると予想しています。

この投稿では、前述の 4 つのマルウェア ファミリで構成されるキャンペーンの 1 つの波に焦点を当てていますが、波ごとに手法が変更されたキャンペーンのバリエーションも強調しています。付録の指標のリストは、この単一の波を超えて拡張されます。

EnvyScout: NV.html (悪意のある HTML ファイル)

Microsoft がEnvyScoutとして追跡している NV.html は、難読化を解除し、悪意のある ISO ファイルをディスクに書き込むことができる悪意のあるドロッパーとして最もよく説明できます。 EnvyScout は、主にスピア フィッシング メールへの添付ファイルとして NOBELIUM の標的に配信されます。

NV.htmlの HTML <body> セクションには、注目すべき 4 つのコンポーネントが含まれています。

コンポーネント #1: URL の追跡と資格情報の収集

EnvyScout の 1 つの亜種では、上記のように <body> セクションに 2 つの URL が含まれています。

1 つ目は、 file://プロトコル ハンドラがプレフィックスとして付けられており、機密性の高い NTLMv2 マテリアルを指定されたアクターが制御する IP アドレスにポート 445 経由で送信するようオペレーティング システムを誘導しようとしていることを示しています。攻撃者が資格情報を実行している可能性があります。これらのトランザクションの反対側で、Responder などのキャプチャ サービス。後で、これらの資格情報の総当たり攻撃により、それらが公開される可能性があります。

分析時に前者と同じ IP アドレスに解決される 2 番目の URL は、HTML ルアーの一部である画像をリモートでソースします。 「Web バグ」と呼ばれることもあるこの手法は、NOBELIUM に対する一種の開封確認として機能し、潜在的なターゲットが悪意のある添付ファイルを開いて実行したことを検証します。

コンポーネント #2: FileSaver JavaScript ヘルパー コード

EnvyScout の 2 番目の部分は、オープンソース ツールFileSaverの修正版であり、JavaScript を介してディスクにファイルを書き込むのを支援することを目的としています。このコードは、公開されているバリアントから直接借用したもので、空白の削除、16 進数パラメーターの 10 進数への変換、変数の名前変更などの小さな変更が加えられています。このコードを以下に詳述するコンポーネント #3 および #4 と組み合わせることで、NOBELIUM はHTMLスマグリング として知られる手法を効果的に実装します。この方法論は、既知の悪意のあるファイル タイプの静的分析を、実行時に動的に変更されたコンテンツ内に隠すことで回避する可能性があります。動的分析ガードレールと組み合わせると、これは両方のタイプの検出を無効にする効果的な方法になる可能性があります。

コンポーネント #3: 難読化された ISO ファイル

EnvyScout の 3 番目のセクションには、エンコードされた blob として格納されたペイロードが含まれています。このペイロードは、各文字を 1 バイト キーで XOR することによってデコードされます。これにより Base64 ペイロードが生成され、コンポーネント #2 および #4 を介してデコードされ、ディスクに書き込まれます。

コンポーネント #4: 難読化解除ツールとドロッパー スクリプト

EnvyScout の最後のコンポーネントは、Base64 でエンコードされた/XOR された blob で ISO をデコードし、「application/octet-stream」の MIME タイプでNV.imgとしてディスクに保存する短いコード スニペットです。感染のこの段階で、ユーザーはダウンロードした ISO NV.imgをダブルクリックして開くことが期待されます。

Microsoft はこのキャンペーンの波を何ヶ月も追跡してきたため、EnvyScount のすべてのインスタンスに存在するわけではありませんが、攻撃者のツールキットにさまざまな変更が加えられていることを特定しましたが、防御側にとっては注目に値します。

EnvyScout バリエーション #1:

攻撃者のフィッシング キャンペーンのいくつかの繰り返しで、 EnvyScoutには window.location.pathname が呼び出される実行ガードレールが含まれており、その値を利用して、返される文字配列の最初の 2 つのエントリが「C」と「:」であることを確認しました。この条件が満たされない場合 (サンプルがC:ドライブから実行されていないことを示します)、埋め込まれた ISO はディスクに書き込まれませんでした。

攻撃者は、以前のブログ投稿で詳述されている Firebase フィンガープリント JavaScript を介して、キャンペーンの以前のエントリの爆発から品質を収集していたため、これは、これらのガードレールを含むサンプルの分析と動的実行を阻止するための実行ガードレールであると評価されました。実環境で EnvyScout の両方の反復を目撃したことで、以前のインスタンスから収集された情報の一部の意図を推測することができます。

EnvyScout バリエーション #2:

EnvyScout 配信の少なくとも 1 つのインスタンスで、実行中のブラウザー環境のさらなる列挙が観察されました。そこでは、Windows マシンが ISO ペイロードを受信したかどうかを判断するためにユーザー エージェントが使用されていました。訪問者が iOS 経由で到着した場合、外部インフラストラクチャにリダイレクトされました。

NV.img (悪意のある ISO ファイル)

ターゲット ユーザーが ( EnvyScoutによってドロップされた) NV.img をダブルクリックして開くと、Windows 10 の既定の動作では、次に使用可能なドライブ文字に ISO イメージがマウントされます。その後、Windows エクスプローラーは、マウントされた ISO の内容をウィンドウに表示します。これは、ユーザーがフォルダーまたは圧縮されたアーカイブを開いたときに表示されるものと同様です。

上記のように、マウントされた ISO にはNVという名前のショートカット ファイルという単一の可視ファイルが含まれています。ただし、隠しファイルとフォルダーを表示するように Windows のファイルとフォルダーの設定を調整すると、 NVという名前の隠しフォルダーとBOOM.exeという名前の隠し実行可能ファイルが公開されます。

ユーザーはNV.lnkと対話することが想定されますが、隠しファイルBOOM.exeを手動で実行することでもシステムが感染します。各ファイルの個々の内容については、以下で詳しく説明します。

悪意のあるペイロードの容器としての ISO の使用は、コンテンツに Web 伝播の痕跡がないため、さらに注目に値します。これは、ホストベースの検出の両方に影響を与え、ユーザーによるコンテンツとのやり取りの摩擦を軽減する可能性があります。

NV.pdf （おとり文書）

マウントされた ISO の非表示の NV ディレクトリには、おとりのアドバイザリを含むNV.pdfという名前のおとり PDF ファイルが含まれています。

この分析で後述するように、 NVディレクトリの内容はBOOM.exeによってユーザーに表示されます。

NV.lnk (悪意のあるショートカット)

NV.lnkは、隠しファイルBOOM.exeのショートカット/ランチャーです。以下に示すように、ショートカットは Living-off-the-land バイナリ (LOLBin) とテクニックを利用して、次のハードコードされたショートカット ターゲット値を使用してBOOM.exeの実行をプロキシします: C:WindowsSystem32rundll32.exe c: windowssystem32advpack.dll,RegisterOCX BOOM.exe .

Microsoft は、次のショートカット ターゲット値を含むこの LNK ファイルのバリエーションも確認したことに注意してください: C:WindowsSystem32cmd.exe /c start BOOM.exe 。

他にも多数の LNK が特定されており、この投稿にリンクされている付録で参照されています。方法論はさまざまで、LNK 自体のメタデータも同様でした。たとえば、SHA-256 のサンプル: 48b5fb3fa3ea67c2bc0086c41ec755c39d748a7100d71b81f618e82bf1c479f0 には、 「%windir%/system32/explorer.exe Documents.dll,Open」のターゲットが含まれていましたが、サンプルの絶対パスは「C:Windowssystem32rundll32」でした。 .exe」 .

最新のキャンペーンに関する Volexity のブログ投稿で言及されているように、LNK メタデータは大幅に削除され、残ったものは波によって異なりました。多くの場合、アイコンはフォルダーであり、ターゲットをだましてフォルダーへのショートカットを開いていると思わせることを目的としていました。

Microsoft は、既知の LNK ファイルの次のターゲットも観察しました。

• C:WindowsSystem32rundll32.exe IMGMountingService.dll MountImgHelper
• C:WindowsSystem32rundll32.exe diassvcs.dll InitializeComponent
• C:WindowsSystem32rundll32.exe MsDiskMountService.dll DiskDriveIni
• C:Windowssystem32rundll32.exe data/mstu.dll,MicrosoftUpdateService

BoomBox: BOOM.exe (悪意のあるダウンローダー)

Microsoft が「 BoomBox 」として追跡している BOOM.exe は、悪意のあるダウンローダーとして説明するのが最も適切です。ダウンローダは、感染の次の段階のコンポーネントをダウンロードして実行する役割を果たします。これらのコンポーネントは Dropbox からダウンロードされます (ハードコードされた Dropbox ベアラー/アクセス トークンを使用)。

実行すると、BoomBox はNVという名前のディレクトリが現在の作業ディレクトリに存在することを確認します。それ以外の場合は終了します。ディレクトリが存在する場合、BoomBox は新しい Windows エクスプローラ ウィンドウにNVディレクトリの内容を表示します (PDF ファイルを開くかどうかはユーザーに任せます)。

次に、BoomBox は次のファイルがシステムに存在しないことを確認します (存在する場合は終了します): %AppData%MicrosoftNativeCacheNativeCacheSvc.dll (このファイルについては、この分析の後半で説明します)。 BoomBox は、ホスト名、ドメイン名、IP アドレス、被害者システムのユーザー名など、さまざまな被害者ホストの品質の列挙を実行して、次の文字列をコンパイルします (値の例を使用)。

次に、BoomBox は、ハードコードされた暗号化キー「123do3y4r378o5t34onf7t3o573tfo73」と初期化ベクトル (IV) 値「1233t04p7jn3n4rg」を使用して、上記のホスト情報文字列を AES 暗号化します。データを PDF ファイルのコンテンツとして偽装するために、BoomBox は PDF 用のマジック マーカーを上記の AES 暗号化されたホスト情報文字列の前後に追加します。

BoomBox は、上記のデータ (PDF ファイルを装ったもの) を Dropbox の被害者ごとの専用フォルダーにアップロードします。デモンストレーションのために、ファイル/データを Dropbox にアップロードするために使用される HTTP(s) POST リクエストの例を以下に示します。

ファイルが Dropbox に正常にアップロードされたことを確認するために、BoomBox は一連の正規表現値を使用して Dropbox からの HTTP 応答をチェックします。以下に示すように、正規表現を使用して、Dropbox から受信した HTTP レスポンス内のis_downloadable 、 path_lower 、 content_hash 、およびsizeフィールド (これらの値ではない) の存在を確認します。特に、アップロード操作が失敗した場合でも、BoomBox はこのチェックの結果を無視して続行します。

次に、BoomBox は Dropbox から暗号化されたファイルをダウンロードします。デモンストレーションのために、Dropbox から暗号化されたファイルをダウンロードするために使用される HTTP(s) POST リクエストの例を以下に示します。

暗号化されたファイルを Dropbox から正常にダウンロードした後、BoomBox は暗号化されたファイルのヘッダーから最初の 10 バイトとフッターから 7 バイトを破棄し、ハードコードされた暗号化キー「123do3y4r378o5t34onf7t3o573tfo73」と IV 値を使用してファイルの残りを AES 復号化します。 「1233t04p7jn3n4rg」。 BoomBox は、復号化されたファイルを%AppData%MicrosoftNativeCacheNativeCacheSvc.dllのファイル システムに書き込みます。次に、 MicroNativeCacheSvcという名前の Run レジストリ値を作成して、 NativeCacheSvc.dllの永続性を確立します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRunMicroNativeCacheSvc

Run レジストリ値は、 rundll32.exeを使用し、「 _configNativeCache 」という名前のエクスポート関数を呼び出すことによって、 NativeCacheSvc.dllを実行するために使用される次のコマンドで設定されます。

rundll32.exe %AppData%MicrosoftNativeCacheNativeCacheSvc.dll _configNativeCache

次に、BoomBox は Dropbox パス/tmp/readme.pdfから 2 番目の暗号化されたファイルをダウンロードし、暗号化されたファイルのヘッダーから最初の 10 バイトとフッターから 7 バイトを破棄し、ファイルの残りを AES 復号化します (上記と同じ AES IV とキー)。復号化されたファイルを%AppData%SystemCertificatesCertPKIProvider.dllに書き込み、上記と同じrundll32.exeコマンドを使用して、以前にドロップされたファイルNativeCacheSvc.dllを実行します。

最後の偵察手順として、システムがドメインに参加している場合、BoomBox は LDAP クエリを実行して、フィルター(&(objectClass=user)を介してすべてのドメイン ユーザーの識別名、SAM アカウント名、電子メール、表示名などのデータを収集します。 (objectCategory=person)) .

列挙されたデータは AES で暗号化され (以前と同じ IV とキーを使用)、(前述のように) 偽の PDF ファイルにカプセル化され、Dropbox パス/new/<Victim_ID>にアップロードされます。ここで<Victim_ID>は MD5 です被害者のシステム名のハッシュ (例: /new/432B65EF29F84E6043A80C15EBA12FD2 ) 。

NativeZone: NativeCacheSvc.dll (悪意のあるローダー)

Microsoft が「 NativeZone 」として追跡している NativeCacheSvc.dll は、 rundll32.exeを利用して悪意のあるダウンローダ コンポーネントCertPKIProvider.dllをロードする悪意のあるローダーとして説明するのが最も適切です。

NativeCacheSvc.dllの悪意のある機能は、 configNativeCacheという名前の DLL エクスポート内にあります。

上記のように、エクスポート関数はrundll32.exeを実行して、 eglGetConfigsという名前のエクスポート関数を呼び出して%AppData%SystemCertificatesLibCertPKIProvider.dllを読み込みます。

VaporRage: CertPKIProvider.dll (悪意のあるダウンローダー)

Microsoft によって「 VaporRage 」として追跡されている CertPKIProvider.dll は、シェルコード ダウンローダーとして説明するのが最も適切です。このバージョンの VaporRage には、DLL の悪意のある機能を格納するeglGetConfigsを含む 11 のエクスポート関数が含まれています。

前のセクションで説明したように、NativeZone はrundll32.exeを使用してCertPKIProvider.dllのeglGetConfigsエクスポート関数を実行します。実行時に、エクスポート関数はまず、NativeZone DLL %AppData%MicrosoftNativeCacheNativeCacheSvc.dllがシステムに存在することを確認します (存在しない場合は終了します)。次に、エクスポート関数は、HTTP(s) GET リクエストを、正当ではあるが侵害された WordPress サイトholescontracting[.]comに発行します。 GET 要求は、動的に生成され、ハードコーディングされた値で構成されます。次に例を示します。

GET リクエストの目的は、まずシステムを侵害されたものとして登録し、次に WordPress サイトから XOR エンコードされたシェルコード BLOB をダウンロードすることです (システムがアクターにとって重要な場合のみ)。正常にダウンロードされると、エクスポート関数 XOR がシェルコード blob をデコードします (ハードコードされたマルチバイト XOR キー「346hrfyfsvvu235632542834」を使用)。

次に、実行可能なメモリ領域内のシェルコード blob の先頭にジャンプして、メモリ内のデコードされたシェルコードを実行します。ダウンロード – デコード – 実行プロセスは、DLL がメモリからアンロードされるまで、ほぼ 1 時間ごとに無期限に繰り返されます。 VaporRage は、Cobalt Strike ステージ シェルコードを含む、C2 サーバーによって提供される互換性のあるシェルコードを実行できます。

NOBELIUM の追加カスタム Cobalt Strike ローダー

以前のブログで説明したように、NOBELIUM は複数のカスタム Cobalt Strike Beacon ローダー (カスタム Artifact Kit テンプレートを使用して生成された可能性が高い) を使用して、悪意のある活動を可能にしました。これらには、TEARDROP、Raindrop、およびその他のカスタム ローダーが含まれます。

前回の発行以降、NOBELIUM のカスタム Cobalt Strike ローダーの追加の亜種を特定しました。 Microsoft は、存続期間が短く使い捨て可能な各亜種に名前を割り当てる代わりに、NativeZone という名前で NOBELIUM のカスタム Cobalt Strike ローダーとローダーのダウンローダーを追跡します。以前のカスタム NOBELIUM Cobalt Strike ローダーに見られるように、新しいローダー DLL には、おとりのエクスポート名と関数、および正規のアプリケーションから借用したコードと文字列も含まれています。

新しい NativeZone ローダーは、次の 2 つのバリアントにグループ化できます。

• バリアント #1: これらのローダーは、エンコード/暗号化された Cobalt Strike Beacon ステージ シェルコードを埋め込みます
• 亜種 #2: これらのローダーは、エンコード/暗号化された Cobalt Strike Beacon ステージ シェルコードを別の付属ファイル (RTF ファイルなど) からロードします。

以降のセクションでは、調査で確認した新しい NativeZone Cobalt Strike Beacon の亜種のいくつかについて説明します。

NativeZone バリアント #1

TEARDROP や Raindrop などの以前の NOBELIUM カスタム Cobalt Strike ローダーと同様に、これらの NativeZone ローダーは、埋め込まれた Cobalt Strike Beacon ステージ シェルコードのデコード/復号化とメモリ内での実行を担当します。一部の NativeZone ローダーは、サンプルの分析を阻止する分析防止ガードレールを備えています。

これらのバージョンの NativeZone では、攻撃者はさまざまなエンコーディングおよび暗号化手法を使用して、埋め込まれたシェルコードを難読化しています。たとえば、以下の例では、NativeZone 亜種は単純なバイトスワップ デコード アルゴリズムを使用して、埋め込まれたシェルコードをデコードします。

埋め込まれたシェルコードをデコードする別のデコード方法を特徴とする別のサンプルを以下に示します。

埋め込まれたシェルコードを復号化するために AES 暗号化アルゴリズムを利用する難読化解除方法を特徴とする別のサンプルを以下に示します。

埋め込まれた Cobalt Strike シェルコード blob を復号化するために AES を利用するさらに別の NativeZone サンプルを以下に示します (上記のサンプルと比較した構文の違いに注意してください)。

CreateThreadpoolWait()を利用してデコードされたシェルコード BLOB を実行するとともに、別のデコード方法を特徴とする別のサンプルを以下に示します。

以下は、被害者のシステムが Vmware または VirtualBox VM であるかどうかをローダーがチェックするアンチ分析手法の例です。

NativeZone バリアント #2

亜種 #1 とは異なり、NativeZone の亜種 #2 のサンプルには、エンコード/暗号化された Cobalt Strike Beacon ステージ シェルコードが含まれていません。代わりに、これらのサンプルは、サンプルに同梱されている添付ファイルからシェルコードを読み取ります。たとえば、1 つの NativeZone 亜種 #2 のサンプルが RTF ファイルと一緒に観察されました。 RTF ファイルは、おとりドキュメントとシェルコード キャリア ファイルの両方を兼ねています。 RTF ファイルには、適切な RTF ファイル構造とデータが含まれ、その後にエンコードされたシェルコード BLOB (オフセット0x658から開始) が続きます。

NativeZone DLL がロード/実行されると、最初に RTF ドキュメントがユーザーに表示されます。

前述のように、同じ RTF にはエンコードされた Cobalt Strike ステージ シェルコードも含まれています。以下に示すように、NativeZone DLL は RTF ファイルからシェルコードを抽出し (上記のようにファイル オフセット 0x658 から開始)、シェルコードをデコードして被害者のシステムで実行します。

新旧のNOBELIUM PDBパスに関する注意事項

このブログで分析したサンプルでは、次の PDB パスの例が確認されました。

• ブームボックス: C:Usersdev10vsDesktopProgObjBOOMBOOMBOOMobjReleaseBOOM.pdb
• NativeZone: c:usersdevuserdocumentsvisual studio 2013ProjectsDLL_stagelessReleaseDLL_stageless.pdb
• NativeZone: C:UsersDevUserDocumentsVisual Studio 2013ProjectsDLL_stagelessReleaseDLL_stageless.pdb
• NativeZone: C:UsersdevDesktop나타나게 하다Dll6x64ReleaseDll6.pdb

上記の PDB パスに「dev」ユーザーが存在することに注意してください。 以前のブログで言及した NOBELIUM Cobalt Strike ローダーの PDB パスで、「dev」ユーザー名が確認されていました: c:buildworkspacecobalt_cryptor_far (dev071)farmanagerfarplatform.concurrency.hpp 。

永続化技術の包括的な保護

高度な NOBELIUM 攻撃には、特定、調査、および対応するための包括的なインシデント対応が必要です。 https://aka.ms/nobeliumで Microsoft から最新の情報とガイダンスを入手してください。

Microsoft Defender ウイルス対策

Microsoft Defender ウイルス対策は、このブログで説明されている新しい NOBELIUM コンポーネントを次のマルウェアとして検出します。

• TrojanDropper:JS/EnvyScout.A!dha
• TrojanDownloader:Win32/BoomBox.A!dha
• トロイの木馬:Win32/NativeZone.A!dha
• トロイの木馬:Win32/NativeZone.B!dha
• トロイの木馬:Win32/NativeZone.C!dha
• トロイの木馬:Win32/NativeZone.D!dha
• TrojanDownloader:Win32/VaporRage.A!dha

Microsoft Defender for Endpoint (EDR)

セキュリティ センターの次のタイトルのアラートは、ネットワークでの脅威の活動を示している可能性があります。

• NOBELIUM が使用する悪意のある ISO ファイル
• NOBELIUMが使用するCobalt Strike Beacon
• NOBELIUM が使用する Cobalt Strike ネットワーク インフラストラクチャ
• EnvyScout マルウェア
• BoomBox マルウェア
• NativeZone マルウェア
• VaporRage マルウェア

次のアラートも、この脅威に関連する脅威アクティビティを示している可能性がありますが、無関係の脅威アクティビティによってトリガーされることもあります。

• 珍しいファイルが作成され、スタートアップ フォルダーに追加されました
• 異常な特性を持つリンク ファイル (LNK) が開かれました

アズールセンチネル

関連する Azure Sentinel クエリを更新して、これらの追加のインジケーターを含めました。 Azure Sentinel のお客様は、このGitHub リポジトリでこのクエリにアクセスできます。

侵害の痕跡 (IOC)

このアクティビティに関連する NOBELIUM IOC は、 MSTIC GitHubの CSV で入手できます。