キヤノンMJ/サイバーセキュリティ情報局

東アジアのDLPソフトウェア会社を狙ったAPTグループ「Tick」のサイバー攻撃とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

 ESET社の研究者は、APTグループ「Tick」によって実行された可能性が極めて高いキャンペーンを発見しました。このインシデントは、DLP(情報漏洩防止)ソフトウェアを開発している東アジアの企業のネットワークで発生しました。

 攻撃者は、このDLP会社の社内アップデートサーバーを侵害し、ソフトウェア開発会社のネットワークにマルウェアを配信し、同社が使用している正規のツールのインストーラーをトロイの木馬化し、最終的に同社の顧客のコンピューターでマルウェアを実行させています。

 本ブログでは、侵害された企業とその顧客のネットワークで検出されたマルウェアの技術的な詳細について説明します。この攻撃者は侵入するときに、これまで検出・文書化されていないダウンローダー(ShadowPy)を展開し、Netboyバックドア(別名Invader)とGhostdownダウンローダーも展開しています。

 これまでに分析されているTickの情報と、侵害された会社に価値の高い顧客が多いことから、この攻撃の目的はサイバースパイであると考えられます。このDLP(情報漏洩防止)ソフトウェアの開発会社が最初に侵害された方法は明らかになっていません。

本ブログの要点:

・ESET社の研究者は、政府機関や軍関係者などの顧客を有する東アジアのDLPソフトウェアの開発会社のネットワークで発生している攻撃を発見しました。
・ESET社の研究者は、この攻撃はAPTグループ「Tick」によって実行されていると確信しています。
・攻撃者は少なくとも3つの系統のマルウェアを展開し、同社が使用するアップデートサーバーやツールを侵害しており、その結果、同社の顧客2社のセキュリティが侵害されました。
・調査の結果、ShadowPyという名前のこれまで検出・文書化されていなかったダウンローダーが発見されました。

TICKの概要

 Tick(別名:BRONZE BUTLER、REDBALDKNIGHT)は、アジア太平洋地域の国を主な標的とし、少なくとも2006年から活動していると考えられているAPTグループです。このAPTグループは、サイバースパイ活動を展開しており、機密情報や知的財産の窃取を主な目的としています。

 Tickは、侵害したマシンに常駐し、偵察、データの流出、ツールのダウンロードを行うために設計された独自のマルウェアツールセットを採用しています。Tickの活動についてESET社が公開した最新のレポートでは、ProxyLogonの脆弱性を攻撃して韓国のIT企業を侵害したことを報告しています。Tickは、この脆弱性が一般に公開される前に攻撃し、リモートからコードを実行するエクスプロイトを利用していたグループの1つです。この脆弱性がゼロデイであったときに、このグループはこのエクスプロイトを利用してWebShellをインストールし、Webサーバーにバックドアを展開していました。

攻撃の概要

 2021年3月、ESET社は東アジアにあるソフトウェア開発会社のネットワークが攻撃されていることを検出したため通告しました。このときの攻撃方法は明らかになっていません。

 攻撃者はマルウェアを展開して常駐化させ、Q-dirと呼ばれる正規のアプリケーションのインストーラーをトロイの木馬化したコピーに置き換えます。このインストーラーが実行されると、ReVBShellというオープンソースのVBScriptバックドアと、正規のQ-dirアプリケーションのコピーをドロップします。これにより、トロイの木馬化されたインストーラーが、リモートサポートツールから転送され、侵害されたこのDLPソフトウェア会社の顧客2社のネットワークで悪意のあるコードが実行されました。このDLPソフトウェア会社が顧客にテクニカルサポートを提供したときに、このインシデントが発生した可能性があります。

 また、攻撃者はアップデートサーバーも侵害しており、DLPソフトウェア会社のネットワークにあるマシンに2回にわたって悪意のあるアップデートが配信されました。ESETのテレメトリ(監視データ)からは、DLPソフトウェア会社のネットワークの外部に悪意のあるアップデートが配信されたケースは検出されていません。

 このDLPソフトウェア会社は政府機関や軍関係者の顧客を抱えており、TickのようなAPTグループにとって、このような企業は特に魅力的な標的となっています。

タイムライン

 ESETのテレメトリによると、2021年3月に攻撃者はこのDLPソフトウェア会社の複数のマシンにマルウェアを展開しています。このマルウェアには、NetboyおよびGhostdown系統の亜種と、ShadowPyという名前のこれまで検出・文書化されていないダウンローダーが含まれていました。

 2021年4月に攻撃者はQ-dirインストーラーをトロイの木馬化したコピーを、この企業のネットワークに展開しました。

 2021年6月と9月に、侵害したこの会社のネットワークで、同企業が開発したソフトウェアのアップデートを実行するコンポーネントが、悪意のある実行ファイルを含むパッケージをダウンロードしました。

 2022年2月と6月には、トロイの木馬化されたQ-dirインストーラーがリモートサポートツールを介して、侵害されたこのDPLソフトウェア会社の顧客に転送されました。

図1. 攻撃と関連するインシデントのタイムライン

アップデートサーバーのセキュリティ侵害

 マルウェアが含まれるアップデートが登録された初めてのインシデントは2021年6月に発生し、その後9月に再度発生しました。いずれのケースでも、DLPソフトウェア会社のネットワークのマシンにアップデートが配信されています。

 このアップデートは、悪意のある実行ファイルを含むZIPアーカイブとして提供されました。侵害されたこの会社が開発したソフトウェアから、正規のアップデートエージェントによってマルウェアが展開され、実行されています。この攻撃チェーンを図2に示します。

図2. 攻撃チェーンの図

 最初に検出されたケースは2021年6月に発生しました。このときには、社内のサーバーからアップデートがダウンロードされ、展開されています。2番目のケースでは、2021年9月にインターネットに公開されているサーバーから発生しました。

 悪意のある実行ファイルが、http://103.127.124[.]117/index.htmlにHTTP GETリクエストを実行し、RC6アルゴリズムで暗号化され、埋め込まれているペイロードを解読するキーを取得します。このペイロードは、ランダムな名前と.vbeという拡張子が付けられて、%TEMP%ディレクトリにドロップされて実行されます。

 侵害されたマシンからドロップされた検体をESET社は入手していませんが、検出した内容(VBS/Agent.DL)から、ESET社はこのスクリプトがオープンソースのバックドアReVBShellである可能性が高いと考えています。

 ESETのテレメトリでは、このDLPソフトウェア会社が開発したソフトウェアから、悪意のあるファイルを同社の顧客が受信したケースは確認されていません。この攻撃者は、外部の顧客に対してサプライチェーン攻撃を仕掛けるためではなく、ネットワークのラテラルムーブメントを行うためにアップデートサーバーを侵害したとESET社は考えています。

トロイの木馬化されたQ-DIRのインストーラー

 Q-DirはSoftwareOKが開発した正規のアプリケーションであり、図3に示すように、同じウィンドウで4つのフォルダーを同時に操作できるようにします。Q-Dirが検出されたネットワークの場所から、これは、侵害されたDPLソフトウェア会社の従業員が使用しているツールキットの1つだと考えられます。

図3. Q-Dirアプリケーションのスクリーンショット

 ESETのテレメトリによると、悪意のあるアップデートが検出される2ヶ月前の2021年4月から、攻撃者はアプリケーションの32bitおよび64bitのトロイの木馬化したインストーラーを、この企業のネットワークに展開しています。

 ESET社は、2022年2月と6月の2回にわたって、東アジアにある2社(1社は技術系企業、もう1社は製造業)のパソコンに、リモートサポートツールであるhelpUとANYSUPPORTによって、トロイの木馬化されたインストーラーが転送されていたことを確認しています。

 これらのコンピューターには、侵害されたこの会社のDLPソフトウェアがインストールされており、トロイの木馬化されたQ-Dirのインストーラーは、ユーザーがサポートソフトウェアをインストールした数分後に受信されています。

 DLPソフトウェア会社の顧客は、これらのリモートサポートツールの1つを介してテクニカルサポートを受けており、悪意のあるインストーラーは、このDLP会社の顧客にサポートサービスを提供するために使用されていた可能性があります。攻撃者が、トロイの木馬化したインストーラーを転送するために、サポートツールをインストールした可能性は低いと思われます。

32bit版インストーラー

 インストーラーをトロイの木馬化するために、セクションヘッダーテーブルの末尾の空洞部にシェルコードを挿入する手法が使用されています。このアプリケーションは、FileAlignmentとSectionAlignmentに0x1000を使用してコンパイルされています。0xD18バイトの空洞部が残っていることから、位置を指定する必要のない悪意のあるシェルコードを十分に保存することが可能です。このアプリケーションのエントリポイントのコードは、シェルコードを指定するJMP命令が適用されており、WinMain(図4)の呼び出しの直後に配置されています。そのため、アプリケーションの正規のコードが実行された後に、悪意のあるコードは実行されます。

図4. アセンブリコードには、実行フローをシェルコードに迂回するJMP命令がある。16進数のダンプは、PEのセクションヘッダの末尾にあるシェルコードを示している

 図5に示すシェルコードは、デフォルトで暗号化されていないペイロードをhttp://softsrobot[.]com/index.htmlから%TEMP%\ChromeUp.exeにダウンロードします。このファイルを作成できない場合、GetTempFileNameA APIを使用して新しい名前を取得します。

図5. バイナリファイルのダウンロードとディスクへの書き込みを実行する関数(逆コンパイルしたコード)

64bit版インストーラー

 悪意のある32bitのインストーラーは1つしか検出されていませんが、64bitのインストーラーはこのDLPソフトウェア会社のネットワークの数ヶ所で検出されました。このインストーラーには、Q-Dirアプリケーションと、攻撃者によってカスタマイズされエンコードされた(VBE)ReVBShellバックドアが含まれており、どちらもLZOで圧縮され、RC6で暗号化されています。これらのファイルは、%TEMP%ディレクトリにドロップされ実行されます。

ReVBShell

 ReVBShellは、基本的な機能を実装するオープンソースのバックドアです。バックドアのコードはVBScriptで記述され、コントローラーのコードはPythonで記述されています。サーバーとの通信は、GETとPOSTのリクエストが使用されHTTPを介して行われます。

 このバックドアは、以下の操作を実行するいくつかのコマンドをサポートしています。

・コンピューター名、オペレーティングシステム名、アーキテクチャ、オペレーティングシステムの言語バージョンの取得
・ユーザー名とドメイン名の取得
・ネットワークアダプター情報の取得
・実行中のプロセスの表示
・シェルコマンドの実行と出力の送信
・カレントディレクトリの変更
・指定したURLからのファイルのダウンロード
・要求されたファイルのアップロード

 GitHubのmain branchのコミット履歴から、攻撃者はReVBShellのバージョン1.0を使用していると考えられます。

DLPソフトウェア会社のセキュリティ侵害の詳細

 このセクションでは、侵害されたDLPソフトウェア会社のネットワークに展開されたツールやマルウェア系統の詳細について説明します。

 常駐するために、攻撃者は悪意のあるローダーDLLを、DLLの検索順序のハイジャックの脆弱性がある署名されている正規のアプリケーションと一緒に展開しています。これらのDLLの目的は、ペイロードを復号して指定されたプロセスに挿入することです(今回のインシデントでは、すべてのローダーがsvchost.exeに挿入されるように設定されています)。

 各ローダーのペイロードは、ShadowPy、Ghostdown、Netboyの3つのマルウェア系統の1つになっています。図6は、ロードのプロセスを示しています。

図6. Tickマルウェアのロードプロセスの概要

 このレポートでは、ShadowPyダウンローダーとNetboyバックドアの分析結果を中心に説明します。

ShadowPy

 ShadowPyは、Pythonで開発されたダウンローダーであり、カスタマイズされたpy2exeのバージョンを使用して、Windowsの実行ファイルに変換されます。ダウンローダーはC&Cサーバーと通信し、実行するPythonスクリプトを取得します。

 今回の調査結果から、このマルウェアは2021年にこのDLPソフトウェア会社が侵害された少なくとも2年前には開発されていた可能性があります。ESET社は、ShadowPyが展開された他のインシデントをこれまで確認していません。

カスタムpy2exeローダー

 前に説明した通り、悪意のあるDLLローダーは、DLLサイドローディングによって実行されます。ShadowPyのケースでは、vssapi.dllがavshadow.exeによってサイドローディングされています。avshadow.exeは、Aviraセキュリティソフトウェアに含まれる正規のソフトウェアコンポーネントです。

 悪意のあるDLLには、カスタムpy2exeローダー、Pythonエンジン、PYCコードの主な3つのコンポーネントが含まれ、DLLのオーバーレイで暗号化されています。最初に、DLLローダーのコードは、DLLのオーバーレイで独自のローダーpy2exeを見つけ、0x56をキーとして、NULL部分ではXOR演算を実施しないNULL-preserving XORの手法で復号し、メモリーにロードして、新しく作成したsvchost.exeプロセスに挿入します。次に、カスタムローダーpy2exeのエントリポイントがリモートプロセスで実行されます。元のpy2exeローダーのコードとTickがカスタマイズして使用しているバージョンの違いは、カスタムローダーが悪意のあるvssapi.dllの内容をディスクから読み取り、オーバーレイの中からPythonエンジンとPYCコードを検出しているのに対し、元のローダーは、PythonエンジンとPYCコードをリソースセクションで検索する点です。

 このロードチェーンを、図7に示します。

図7. PYCペイロードを実行するステップの概要

Pythonダウンローダー

 このPYCコードは、Pythonスクリプトを取得し、新しいスレッドで実行する単純なダウンローダーです。このダウンローダーは、リストからランダムにURLを選択し(ただし、分析した検体では1つのURLしか存在していません)、以下のデータから構成される文字列を構築して、侵害したマシンの一意のIDを作成します。

・マシンローカルのIPアドレス
・MACアドレス
・ユーザー名(環境変数%username%から返されるもの)
・ドメインとユーザー名(whoamiコマンドの結果)
・ネットワークコンピューター名(Pythonのplatform.node関数で返されるもの)
・オペレーティングシステムの情報(Pythonのplatform.platform関数で返されるもの)
・アーキテクチャ情報(Pythonのplatform.architecture関数で返されるもの)

 最後に、abs(zlib.crc32(<string>))を使用して、IDとなる値を生成します。このIDはランダムな文字で構成された文字列内に挿入され、さらに難読化された後、図8に示すようにURLに付加されます。

図8. 難読化された一意のユーザーIDを付加してURLを作成するPythonコード(逆コンパイルしたコード)

 travelasist[.]comにHTTP GETリクエストを発行し、新しいペイロードを受信します。このペイロードは、固定された1バイトのキー0xC3でXOR復号された後で、base64で復号されます。この結果は、CFBモードのAESアルゴリズムを使用して、ペイロードに付属する128bitのキーと初期化ベクトル(IV)で復号されます。最後に、zlibで解凍され、新しいスレッドで実行されます。

Netboy

 Netboy(別名 Invader)はDelphiでプログラムされたバックドアで、34個のコマンドをサポートしています。攻撃者はこのバックドアを使用して、画面キャプチャ、侵害したマシンでのマウスおよびキーボード操作、ファイルおよびサービスの操作、システムおよびネットワーク情報の取得する機能などを利用できます。

ネットワークプロトコル

 NetboyはC&CサーバーとTCPで通信します。このバックドアとC&Cサーバー間で情報を交換するために使用されるパケットフォーマットを、図9に示します。

図9. NetboyがC&Cと通信するときに使用するパケットフォーマットの図

 パケットをフィンガープリントするために、2つの乱数(ヘッダーの最初の2つのフィールド)を生成し、図10に示すように一緒にXOR演算を行い、パケットを検証するために使用される第3の値を生成します。

図10. 2つの乱数を生成し、それらを組み合わせてパケットフィンガープリント値を生成するコード(逆コンパイルしたコード)

 バックドアがコントローラーから新しいコマンドを受信したときのパケット検証を、図11に示します。

図11. 新しく受信したパケットを検証するコード(逆コンパイルしたコード)

 また、パケットヘッダーには、暗号化した圧縮データのサイズと、圧縮していないデータのサイズに加え、図12に示すように、圧縮前のデータの前に付加される乱数(検証には使用しない)を含む別のフィールドのサイズ(DWORD)が含まれます。

図12. コントローラーに送信する新しいパケットを作成するコード(逆コンパイルしたコード)

 Netboyは圧縮のために、LZRWの圧縮アルゴリズムの一種を使用しており、暗号化には、ASCII文字で構成された256bitのキーのRC4アルゴリズムを使用しています。

バックドアコマンド

 表1に示すように、Netboyは34個のコマンドをサポートしていますが、ここでは、攻撃者に侵害されたシステムで特定の機能を実行する重要な25個のコマンドについて説明します。

コマンドID 説明
0x05 新しいTCPソケットを作成し、コントローラーから受信したデータを新しいファイルに保存します
0x06 新しいTCPソケットを作成し、ファイルを読み込み、内容をコントローラーに送信します
0x08 ローカルホスト名、メモリー情報、システムディレクトリのパス、設定されているバックドアの動作時間範囲(14時~18時など)を取得します
0x0A サーバーであるネットワークリソースを一覧表示します
0x0B 指定されたディレクトリにあるファイルを一覧表示します
0x0C ドライブを一覧表示します
0x0E Windows API(ShellExecute)を使用してプログラムを実行します
0x0F ファイルを削除します
0x10 プロセスを一覧表示します
0x11 プロセス内のモジュールを列挙します
0x12 プロセスを終了します
0x13 プログラムを実行し、出力を取得します
0x16 サーバーから新しいファイルをダウンロードし、Windows API(ShellExecute)を使用して実行します
0x1D リバースシェルを作成します
0x1E シェルプロセスを終了します
0x1F WinSNMP APIを使用して、TCPおよびUDPの接続情報を取得します
0x23 サービスを一覧表示します
0x24 コントローラーから指定されたサービスを開始します
0x25 コントローラーから指定されたサービスを停止します
0x26 新しいサービスを作成します。サービス名、説明、パスなどの詳細をコントローラーから受信します
0x27 コントローラーから指定されたサービスを削除します
0x28 TCP接続の状態を設定します
0x29 画面キャプチャを開始し、10ミリ秒ごとにコントローラーに送信します
0x2A 画面キャプチャを停止します
0x2B コントローラーから要求されたマウスやキーボード操作を実行します

表1. 注意が必要なNetboyバックドアのコマンド

攻撃の帰属

 ESET社は、発見されたマルウェアが過去にTickが利用しており、ESET社が把握している限りでは他のAPTグループが利用していないないこと、ShadowPyとNetboyが使用するローダーとコードが酷似していることから、この攻撃がTickによって実行された可能性が高いと考えています。

 さらに、攻撃者がC&Cサーバーとの通信に使用したドメイン(2015年のwaterglue[.]org、2020年のsoftsrobot[.]com)は、過去にTickが攻撃で使用しているドメインです。

関連している可能性のある攻撃

 2022年5月、AhnLabのリサーチャーは、サイドローディングのために正規の実行ファイルと悪意のあるDLLを展開し、CHMファイルを使用して韓国の団体や個人を標的としたサイバー攻撃者に関するレポートを公開しました。この攻撃者の詳細は特定されていません。このDLLの目的は、%TEMP%フォルダーにあるVBEスクリプトを解凍、復号、ドロップして、実行することです。復号されたスクリプトからは、ReVBShellのバックドアが見つかっています。

 これらの攻撃で使用されたカスタムReVBShellバックドアは、今回の攻撃で使用されたバックドアと同じであり、悪意のある64bitインストーラー(SHA-1: B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6)とAhnLabが説明しているquartz.dllの検体(SHA-1:ECC352A7AB3F97B942A6BDC4877D9AFCE19DFE55)間でもいくつかのコードが酷似していることから、このキャンペーンは本レポートで紹介した攻撃と関連している可能性が高いと考えられます。

結論

 ESET社のリサーチャーは、東アジアのDLP(情報漏洩防止)ソフトウェア会社が侵害されていることを発見しました。侵入時には、攻撃者は少なくとも3つの系統のマルウェアを展開し、同社が使用するアップデートサーバーやツールを侵害しました。その結果、同社の顧客2社のセキュリティが侵害されました。

 この攻撃で使用された悪意のあるツールを分析したところ、これまで検出・文書化されていなかったマルウェアが発見されました。ESET社は、このマルウェアをShadowPyと命名しました。今回の調査でマルウェアの類似性が特定されたことから、APAC地域を対象としたサイバースパイ活動を実施しているAPTグループ「Tick」によってこの攻撃は実行されているとESET社は確信しています。

 この調査で情報や検体を共有いただいたAhnLabのCha Minseok氏に感謝します。

IOC(セキュリティ侵害の痕跡)

ファイル

SHA-1 ファイル名 ESET社の検出名 説明
72BDDEAD9B508597B75C1EE8BE970A7CA8EB85DC dwmapi.dll Win32/Netboy.A Netboyのバックドア
8BC1F41A4DDF5CFF599570ED6645B706881BEEED vssapi.dll Win64/ShadowPy.A ShadowPyのダウンローダー
4300938A4FD4190A47EDD0D333E26C8FE2C7451E なし Win64/TrojanDropper.Agent.FU トロイの木馬化されたQ-dirインストーラー、64bit版。カスタマイズしたReVBShellのバージョンAを展開します
B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6 なし Win64/TrojanDropper.Agent.FU トロイの木馬化されたQ-dirインストーラー、64bit版。カスタマイズしたReVBShellのバージョンBを展開します
F54F91D143399B3C9E9F7ABF0C90D60B42BF25C9 なし Win32/TrojanDownloader.Agent.GBY トロイの木馬化されたQ-dirインストーラー、32bit版
FE011D3BDF085B23E6723E8F84DD46BA63B2C700 なし VBS/Agent.DL カスタマイズされたReVBShellバックドアのバージョンA
02937E4A804F2944B065B843A31390FF958E2415 なし VBS/Agent.DL カスタマイズされたReVBShellバックドアのバージョンB

ネットワーク

IP プロバイダー 最初に確認された日付 説明
115.144.69[.]108 KINX 2021-04-14 travelasist[.]com
ShadowPyのC&Cサーバー
110.10.16[.]56 SK
Broadband
Co Ltd
2020-08-19 mssql.waterglue[.]org
NetboyのC&Cサーバー
103.127.124[.]117 MOACK.Co.LTD 2020-10-15 悪意のあるアップデート実行ファイルと通信し、復号のためのキーを取得するサーバー
103.127.124[.]119 MOACK.Co.LTD 2021-04-28 slientship[.]com
ReVBShellバックドアバージョンAのサーバー
103.127.124[.]76 MOACK.Co.LTD 2020-06-26 ReVBShellバックドアバージョンBのサーバー
58.230.118[.]78 SK
Broadband
Co Ltd
2022-01-25 oracle.eneygylakes[.]com
Ghostdownのサーバー
192.185.89[.]178 Network
Solutions, LLC
2020-01-28 ペイロードを取得するために悪意のある32bitインストーラーが通信するサーバー

MITRE ATT&CKの技術

 この表は、MITRE ATT&CKフレームワークのバージョン12を使用して作成されています。

手法 ID 名前 説明
初期アクセス T1195.002 サプライチェーンの侵害:ソフトウェアサプライチェーンの侵害 Tickが侵害したアップデートサーバーは、侵害した会社の開発したソフトウェアから悪意のあるアップデートパッケージを配信します
T1199 信頼関係 Tickは、テクニカルサポートが使用する正規のアプリケーションを置換して、この会社の顧客を侵害しています
実行 T1059.005 コマンドおよびスクリプトインタプリタ:Visual Basic Tickは、VBScriptで記述されたReVBShellのカスタマイズバージョンを使用しています
T1059.006 コマンドおよびスクリプトインタプリタ:Python ShadowPyマルウェアは、Pythonで記述されたダウンローダーを使用します
常駐化 T1547.001 ブートまたはログオン自動起動:Runレジストリキーやスタートアップフォルダーの悪用 NetboyとShadowPyのローダーは、Runキーを介して常駐します
T1543.003 システムプロセスの作成または修正:Windowsサービス NetboyとShadowPyのローダーは、サービスを作成して常駐します
T1574.002 実行フローのハイジャックの:DLLサイドローディング NetboyとShadowPyのローダーは、サービスを作成するときに、正規のサービス名と説明名を使用します
防衛機能の回避 T1036.004 なりすまし:タスクまたはサービスのなりすまし NetboyとShadowPyのローダーは、サービスを作成するときに、正規のサービス名と説明名を使用します
T1036.005 なりすまし:正規のモジュールの名前や場所の模倣 NetboyとShadowPyのローダーは、サービスを作成するときに、正規のサービス名と説明名を使用します
T1027 ファイルや情報の難読化 Netboy、ShadowPy、およびそれらのローダーは、ペイロード、文字列、構成を暗号化して使用します。ローダーにはガベージコードが含まれています
T1027.001 ファイルや情報の難読化:バイナリパディング NetboyとShadowPyのローダーDLLは、セキュリティソリューションが検体をアップロードするのを回避するため、不要なバイナリデータを付与するパティングの手法を取り入れています
T1055.002 プロセスインジェクション:PE(Portable Executable)の注入 NetboyとShadowPyのローダーは、構成済みのシステムプロセスにPEを挿入します
T1055.003 プロセスインジェクション:スレッド実行ハイジャック NetboyとShadowPyのローダーは、システムプロセスのメインスレッドを乗っ取って、挿入したマルウェアを実行します
検出 T1135 共有ネットワークの検出 Netboyはネットワークディスカバリ機能を実装しています
T1120 周辺機器の検出 Netboyは、利用可能なすべてのドライブを列挙します
T1057 プロセスの検出 NetboyとReVBShellはプロセスを列挙する機能を実装しています
T1082 システム情報の検出 NetboyとReVBShellは、システム情報を収集します
T1033 システムオーナー/ユーザーの検出 NetboyとReVBShellは、ユーザー情報を収集します
T1124 システム時間の検出 Netboyは、システムの時間を使用して、特定の時間帯にC&Cと通信します
ラテラルムーブメント T1080 共有コンテンツの感染 Tickは、テクニカルサポートが使用する正規のアプリケーションを置き換えるため、侵害されたネットワークでこれまで感染していないシステムでマルウェアが実行されます
収集 T1039 ネットワーク共有ドライブのデータ NetboyやReVBShellは、ファイルを収集する機能を実装しています
T1113 画面キャプチャ Netboyにはスクリーンショットを取得する機能があります
C&C(コマンド&コントロール) T1071.001 アプリケーションレイヤープロトコル:Webプロトコル ShadowPyとReVBShellは、C&CサーバーとHTTPプロトコルで通信します
T1132.001 データのエンコーディング:標準エンコーディング TickのカスタマイズされているReVBShellは、C&Cサーバーとの通信をbase64でエンコードします
T1573 チャンネルの暗号化: NetboyはRC4を使用します
ShadowPyはAESを使用します
情報の外部への送信 T1041 C&Cチャネルからの送信 NetboyとReVBShellは、データを外部に送信する機能を実装しています
T1567.002 Webサービスを介したデータの外部への流出:クラウドストレージへのデータの流出 Tickは、Webサービスを介してファイルをダウンロードし、外部に送信する独自のツールを展開します