サイバーセキュリティ研究者によって、正規のシステムツールを悪用する高度なファイルレスマルウェアキャンペーンが明らかになりました。
この攻撃は、悪意のあるコードをすべてメモリ上で実行することで、従来のディスクベースの検出を回避し、検出・解析・除去を困難にしています。
調査によると、このオペレーションは最終的に多段階のファイルレスローダーを通じて強力なリモートアクセス型トロイの木馬(RAT)であるAsyncRATを配信していました。
侵害されたリモートツールによる初期アクセス
水曜日にLevelBlueが公開したアドバイザリによると、侵害は広く利用されているリモートアクセスプラットフォームであるScreenConnectクライアントの侵害から始まりました。
攻撃者は、許可されていないScreenConnectの導入に関連するドメイン relay.shipperzone[.]online を介してインタラクティブなセッションを確立しました。このセッション中、Update.vbsというVBScriptがWScript経由で実行され、PowerShellコマンドをトリガーして2つのペイロードをダウンロードしました。
ファイル logs.ldk と logs.ldr は C:\Users\Public\ ディレクトリに保存されましたが、ディスク上に実行ファイルとして書き込まれることはありませんでした。これらはリフレクションを用いて直接メモリ上にロードされました。
最初のペイロードはバイト配列に変換され、2つ目は直接実行されました。スクリプトはウェブからエンコードされたデータを取得し、メモリ上でデコードして .NET アセンブリを呼び出し攻撃を実行しました。これはファイルレスマルウェアの特徴です。
ファイルレスマルウェアの実行手法についてさらに読む:PowerShellベースのローダーが新たなファイルレス攻撃でRemcos RATを展開
AsyncRAT感染チェーン
第一段階の .NET アセンブリである Obfuscator.dll は、AsyncRAT感染チェーンのランチャーとして機能します。
LevelBlueの分析によると、3つの主要なクラスが明らかになりました:
-
Class A:ランタイム環境を初期化
-
Class Core:「Skype Updater」と偽装されたスケジュールタスクによる永続化の確立と追加ペイロードのロード
-
Class Tafce5:Windowsのセキュリティログの無効化、スクリプトスキャンのパッチ適用、APIの動的解決
モジュール設計により、マルウェアは検出を回避しつつRATペイロードの準備を行うことができました。
一方、AsyncClient.exeはコマンド&コントロール(C2)エンジンとして機能します。持続的なアクセスを維持し、システム偵察を行い、攻撃者が指定したコマンドを実行します。
主な機能は以下の通りです:
-
C2ドメイン(例:3osch20[.]duckdns[.]org)、感染フラグ、%AppData%などのターゲットディレクトリを含む埋め込み設定のAES-256復号
-
コマンド配信のためのカスタムパケットプロトコルを用いたTCPベースの通信
-
オペレーティングシステムの詳細、権限レベル、アンチウイルスの状態、アクティブウィンドウのタイトル、MetaMaskやPhantomなどのブラウザ拡張機能を含むデータの窃取
-
コンテキストキャプチャ付きのキーロギング、スケジュールタスクによる永続化の確保
「主要な要素を分解することで、マルウェアがどのように永続化を維持し、ペイロードを動的にロードし、認証情報やクリップボードの内容、ブラウザのアーティファクトなどの機密データを窃取するかを理解できます」とアドバイザリは述べています。
「これらの発見は、観測された挙動に基づくターゲットを絞った検出シグネチャの作成や、エンドポイントの強化を可能にします。」
翻訳元: https://www.infosecurity-magazine.com/news/fileless-malware-deploys-advanced/