10FXRAT
Hunt this family in your stack
Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.
Groups observed using it
1 distinct threat actor attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.
Techniques & procedures
21 distinct techniques documented for this family, organized by ATT&CK tactic.
Initial Access
1 technique攻撃はスピアフィッシングメールを起点としており、メール本文に記載されたGoogle Cloud Storageのリンクから、不正なファイルをダウンロードさせる手口が用いられていました。
Execution
3 techniquesレジストリ操作に失敗した場合は、下記PowerShellのコマンドレットを用いて追加を試みます。 「powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath ..."」
このデバイスインタフェースを利用する主な目的は、セキュリティ製品の無効化(0x22E010 IOCTL)と、自分自身のプロセスおよびネットワーク通信の隠蔽(0x22E008 IOCTL)です。
Persistence
3 techniquesスキャン除外パスの登録... HKLM¥SOFTWARE¥Microsoft¥Windows Defender¥Exclusions¥Paths ... リアルタイム保護と振る舞い監視の無効化 ... HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows Defender¥Real-Time Protection ... クラウド連携およびサンプル自動送信のブロック ... HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows Defender¥Spynet
その後、ファイル名と同じ名称でWindowsサービスとして登録し、このサービスを起動します。... 「DevCfgCC.sys」というファイル名で永続化ディレクトリへ書き出し、OSの起動時に自動的に読み込まれるよう、システムにサービスとして登録します。
Privilege Escalation
2 techniquesその後、ファイル名と同じ名称でWindowsサービスとして登録し、このサービスを起動します。... 「DevCfgCC.sys」というファイル名で永続化ディレクトリへ書き出し、OSの起動時に自動的に読み込まれるよう、システムにサービスとして登録します。
Stealth
3 techniquesマルウェア内部にハードコードされている暗号化された10FXRAT関連ファイル...を、Incremental XORを用いて復号します。
本マルウェアはAPI Hashingテクニックを用いており、必要なWindows APIのアドレスを実行時にハッシュ値から動的解決します。
これを受け取ったドライバは、WindowsのカーネルAPIや、正規のネットワーク監視ドライバ(¥Driver¥nsiproxy、¥Device¥Tcpなど)をフックし、指定されたPIDのプロセス情報と通信記録をシステムから除外します。これにより、OSのプロセス一覧から自身の存在を消し去り、タスクマネージャーやEDR等の各種システム監視ツールから、プロセスおよびC2サーバとの不正な通信活動を隠蔽することが可能となります。
Defense Impairment
1 techniqueCredential Access
1 techniqueDiscovery
4 techniques初期通信で送信するデータ ... computerName, userName, os, arch, cpuCores, memoryMB, isAdmin, integrity, hasCamera, windowTitle, installDate ...
Collection
2 techniquesCommand and Control
3 techniques10FXRATは...SOCKS5トンネリングなど、複数のC2コマンドに対応しています。... C2サーバからコマンドIDが0x30のリクエストを受信すると、本マルウェアはSOCKS5プロキシとして動作し、トンネリング通信の処理を行います。攻撃者はこの機能を利用することで、感染端末を踏み台にして内部ネットワークへの横展開を行うことが可能です。
10FXRATは、独自プロトコルを使用してTCP通信を行います。通信プロトコルは、「12バイトの固定長ヘッダ」と「可変長のペイロード(データ本体)」で構成されています。
C2サーバからモジュールをダウンロードして読み込むことで、自身の機能を柔軟に拡張することが可能です。
Exfiltration
1 technique初期通信の例です。... JSONフォーマットで...感染端末に含まれる様々なデータを送信します。
Other
1 techniqueIOCs tracked for this family
60 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.
IPs, domains, and DNS infrastructure linked to this family.
File hashes (MD5, SHA-1, SHA-256) from samples and reports.
Recent activity
1 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.
The version that knows your environment.
Match every observed IP, domain, and hash against your live telemetry.
Named campaigns wielding this family, with evidence pinned to each claim.
CVEs this family uses for access and lateral movement.
YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.
Every documented technique, ranked by evidence weight.
Reddit, Mastodon, and CTI community discussion around this family.