PR

WIRTEがAshenLoaderを悪用しAshTagバックドアを展開

Security

Source:https://thehackernews.com/2025/12/wirte-leverages-ashenloader-sideloading.html

🛡 概要

中東の政府・外交機関を狙うAPT「WIRTE」(Unit 42はAshen Lepusとして追跡)が、DLLサイドローディング手法を用いるAshenLoader経由で、.NET製のモジュール型バックドア「AshTag」を展開する継続的なスパイ活動を実施しています。近年はオマーンやモロッコにも標的が拡大しており、地政学的テーマを装った誘導文書を多用して感染させます。報告によれば、活動は地域紛争期も衰えず、独自開発のバリアントを投入しつつ手動操作で情報窃取を継続しています。本件は脆弱性悪用ではなく、フィッシングとサイドローディングを組み合わせた多段感染により、検知回避とメモリ常駐で痕跡最小化を図るものです(CVSSは適用外)。

🔍 技術詳細

攻撃は、受信者の関心を引く地域情勢関連のPDFを用いたフィッシングから始まります。PDFは無害に見えますが、外部のファイル共有サービスへのリンクを提示し、RARアーカイブをダウンロードさせます。ユーザがアーカイブを展開・実行すると、以下のチェーンが発動します。

  • 正規実行ファイルをリネームしたバイナリと、対応する悪性DLLを同一ディレクトリに配置し、DLLサイドローディング(Hijack Execution Flow)で「AshenLoader」を読み込み
  • AshenLoaderはカバーストーリーとしてデコイPDFを開きつつ、外部C2から正規実行ファイルと「AshenStager(stagerx64)」を取得し、再度サイドローディングしてインメモリでスイートを始動
  • 最終的に「AshTag」.NETバックドアをメモリ上で稼働。正規ユーティリティ「VisualServer」を装って常駐し、「AshenOrchestrator」が通信と追加ペイロードのロードを制御

AshTagのモジュールは、永続化とプロセス管理、アップデート・自削除、スクリーンキャプチャ、ファイル探索・操作、システムのフィンガープリント収集などを備えます。実運用では、侵害端末上で攻撃者が手動操作を行い、興味対象の文書を C:\Users\Public に集約してから、Rcloneユーティリティで攻撃者管理サーバへ送信する事例が確認されています。これはメールボックスから取得した外交関連文書の窃取を目的とするもので、エンドポイント側の高度な検知能力が乏しい環境では同様の流出が起きた可能性が高いと評価されています。

⚠ 影響

主たる影響は機密情報の窃取(機密性の重大な毀損)で、外交文書や業務上の意思決定に関わる情報が狙われます。AshTagはメモリ常駐と正規プロセス偽装で検知を回避しやすく、長期潜伏のリスクが高い点が特徴です。なお、同地域の関連クラスターにおいて破壊的ワイパー(SameCoin)を用いた攻撃が別途報告されていますが、本件チェーン自体はスパイ活動が中心です。CVSS: 該当なし(脆弱性起点ではなくTTP起点)。

🛠 対策

  • メール防御とコンテンツ分離: PDF内リンクの無害化、URLリライト、クラウドサンドボックスでRAR/EXE/DLLの動的解析
  • サイドローディング対策: WDACまたはAppLockerでユーザ書き込み可能ディレクトリからの未署名DLLロードを拒否、正規バイナリのパス制限、サイドローディング既知組合せの明示ブロック
  • .NET/メモリ検知強化: AMSI統合を有効化、EDRのメモリスキャンとCLRロードテレメトリ監視
  • 外向き通信の最小化: ファイル共有・パススルー型ストレージ、WebDAV/SFTP等のプロトコルを原則遮断し許可リスト化、DNSトンネリングや不審FQDNを継続監視
  • Rclone対策: 実行ファイルのハッシュ/署名で制御、–config, –progress, sync/copy 等の典型フラグ検知、ネットワーク上の大量外送しきい値監視
  • データ保護: 機密ファイルの暗号化とDLP、C:\Users\Public 等の公共フォルダ利用監視と書き込み制限
  • ユーザ訓練: 地政学テーマのスピアフィッシング模擬演習と報告手順の徹底

📌 SOC視点

  • プロセスツリー: PDF閲覧プロセスからのrar解凍、リネーム済み正規EXE起点での不審DLLロードの連鎖を可視化
  • イベント/テレメトリ: Sysmon EID 1(ProcessCreate), 7(ImageLoad: 不審DLL), 11(FileCreate: 公共フォルダ), 3(NetworkConnect);Windows 4688(プロセス作成)
  • モジュールロード: 正規プロセス下での未知DLLロード頻度、SafeDllSearchModeを悪用する同ディレクトリDLLの優先読込を検出
  • ネットワーク: ファイル共有サービスへのダウンロード、未知ホストへの小型バイナリ取得の増加、WebDAV/SFTPの外向きをフラグ
  • Rclone: 実行名偽装(rclone.exe以外)やポータブル版の持ち込み、ユーザプロファイル配下の新規config生成を検知
  • アーティファクト最小化対策: メモリ常駐前提のため、EDRのメモリスキャン、Yara-L内蔵の.NETメタデータ検査を併用

📈 MITRE ATT&CK

  • Initial Access: T1566.001 Spearphishing Attachment(PDFデコイ)、T1566.002 Spearphishing Link(外部共有リンク)
  • Execution: T1204.002 User Execution(RAR展開とユーザ実行に依存)
  • Defense Evasion: T1574.002 DLL Side-Loading(正規EXE+悪性DLL)、T1036 Masquerading(VisualServer装い)
  • Command and Control: T1105 Ingress Tool Transfer(追加コンポーネントの取得)
  • Collection: T1113 Screen Capture、T1082 System Information Discovery(フィンガープリント)
  • Exfiltration: T1048 Exfiltration Over Alternative Protocol(Rcloneで攻撃者管理サーバへ)

注: AshTagは永続化機能を備えると報告されていますが、具体的な手法は公開情報に限り不詳のため特定技法は記載しません。

🏢 組織規模別助言

  • 小規模: メールゲートウェイのURL検査とクラウドサンドボックスを最優先で導入。EDRを1製品に集約し、RcloneとDLLサイドローディングの既知IOCを即時適用
  • 中規模: WDACによる署名強制とユーザ書込み領域の実行制御、外向きプロトコルの許可リスト化、週次でPDF→RAR→EXEのチェーン探索をハンティング手順化
  • 大規模: コンテンツ分離とメール無害化の全面展開、ZTAに基づくegress制御、EDRのメモリスキャンとCLRテレメトリの相関、DLPで公共フォルダ経由の集約行為を検知・遮断

🔎 類似事例

  • TA402/MoleratsおよびAPT-C-23(Arid Viper)による中東地域のスパイ活動(別クラスター)
  • Check Point報告のSameCoinワイパー(破壊目的・別件)
  • 複数APTにおけるDLLサイドローディング(例: 正規ツールに寄生するPlugX系の手口)
  • 参考: CVE-2023-38831(WinRARの任意実行)を悪用したフィッシング事例(本件での悪用は未確認)

🧭 次の一手

直ちにPDF→RAR→正規EXE+悪性DLLの連鎖をハンティングし、C:\Users\Public への文書集約とRclone実行の有無を確認してください。次いでWDAC/AppLockerのポリシー強化、メール無害化の適用範囲拡大、外向きプロトコルの許可リスト運用を実施し、AshTag/AshenLoaderのIOCとYaraルールを最新化しましょう。