ハッカーは再び正規ソフトウェアに対するユーザーの信頼を悪用し、今回は人気のCPUID HWMonitorユーティリティを濫用して、ステルス遠隔アクセストロージャンを配信しています。
悪意のあるアーカイブは正規のインストーラーを模倣し、信頼されたツールがいかに初期アクセスの強力な誘因となるかを浮き彫りにします。
偽のダウンロードリンク経由で配布される武装化されたZIPアーカイブには、正規のHWMonitor実行可能ファイルと、CRYPTBASE.dllという名の悪意のあるDLLが含まれています。
このセットアップは古典的なDLLサイドロード攻撃を実行可能にします。正規のバイナリがWindowsシステムパスの代わりに、ローカルディレクトリから攻撃者が制御するコードを意図せずに読み込みます。
Guruculのセキュリティ研究者は、Cloudflare R2エンドポイントでホストされた疑わしいダウンロードを指していたRedditの投稿を分析した後、HWMonitorのトロイの木馬化されたバージョンを発見しました。
実行されると、HWMonitor_x64.exeはWindowsのDLL検索順序の動作のため、悪意のあるCRYPTBASE.dllを読み込みます。注入されたDLLは、正規のシステムcryptbase.dllを読み込むことで、通常の機能を静かに復元し、アプリケーションが期待どおりに実行されるようにします。
エントリーポイント内で、悪意のあるDLLは2つのスレッドを生成します:
- 1つは攻撃チェーンを開始します。
- もう1つはクリーンなシステムDLLを読み込んで疑いを避けます。
この分離はクラッシュの防止に役立ち、実行中の検出の可能性を減らします。
ハッカーがHWMonitorを乗っ取る
マルウェアは洗練されたマルチステージ反射ロードメカニズムを通じて動作します。内部セクションから難読化されたデータを抽出し、VirtualAllocなどのAPIを使用して実行可能メモリを割り当てます。ペイロードは復号化され、完全にメモリ内で実行されます。
実行チェーンは以下のように進行します:
- HWMonitor_x64.exe。
- 悪意のあるCRYPTBASE.dll。
- ステージ1シェルコードローダー。
- ステージ2および3反射ローダー。
- ステージ4最終ローダー。
- STX RATペイロード。
各ステージはTEAのようなルーチンを使用して次のステージを復号化して読み込み、中間ファイルがディスクに書き込まれないようにします。このファイルレスアプローチは、フォレンジック可視性を大幅に減らし、検出を複雑にします。
最終的なペイロードはSTX RATを配信します。これはステルスと制御のために設計された機能豊富な遠隔アクセストロージャンです。それは複数の高度な回避技術を採用しています:
- 関数を動的に解決するためのROR13アルゴリズムを使用したAPIハッシング。
- BeingDebuggedフラグをチェックすることによるPEBベースのアンチデバッギング。
- 機密データを隠すためのXORベースの文字列難読化。
マルウェアはホスト名、ユーザー名、OSバージョンなどのシステム詳細を収集することにより、広範な偵察も実施します。
STX RATはAvast、CrowdStrike、SentinelOne、Sophos、Kaspersky を含むインストール済みのセキュリティツールを積極的にスキャンしています。これにより、攻撃者は被害者の防御に基づいて動作を適応させることができます。
より懸念されるのは、その隠されたデスクトップ監視機能です。WinSta0ウィンドウステーションと相互作用することにより、マルウェアは隠されたデスクトップ環境を作成し、ユーザーアクティビティをキャプチャできます。
可視ウィンドウを列挙し、BitBltスクリーンキャプチャ技術を使用して、認証情報やセッショントークンなどの機密データを盗みます。
マルウェアは構造化されたJSONデータを使用してリモートコマンド&コントロールサーバーと通信します。観察された構成フィールドには、キャンペーン識別子とコールバックURLが含まれており、オペレータは感染を追跡し、侵害されたシステムを効率的に管理できます。
このキャンペーンにリンクされた既知のコールバックエンドポイントは次のとおりです:
- hxxps://welcome.supp0v3[.]com/d/callback
Gurucul SIEMのようなセキュリティプラットフォームは、以下を監視することによってこのキャンペーンの検出を支援できます:
- 疑わしいDLLサイドロード動作。
- RWX許可を持つメモリ領域。
- 反射ロードパターン。
- 隠されたデスクトップインタラクションとスクリーンキャプチャアクティビティ。
- 通常と異なるアウトバウンドネットワーク通信。
このキャンペーンは重要な教訓を強調しています:配布チャネルが侵害された場合、広く信頼されているソフトウェアでさえ、高度なマルウェアの配信メカニズムになる可能性があります。
ユーザーと組織は、ソフトウェアソースを検証し、行動検出を実装して、ますますファイルレスで回避的な脅威から防御する必要があります。
侵害の指標(IOC)
URL
| タイプ | 指標 |
| コールバックURL | hxxps://welcome.supp0v3[.]com/d/callback |
| マルウェア配布URL | hxxp://pub-fd67c956bf8548b7b2cc23bb3774ff0c[.]r2[.]dev/hwmonitor_1[.]63[.]zip |
ファイルハッシュ(MD5)
| ファイル | MD5 |
| hwmonitor_1.63_malware.zip | f19f331562052baea0114d5186bbffd4 |
| CRYPTBASE.dll | ab122aa36bfebf4f249c4eb617e4a6cb |
| ステージ2ローダー | D3C186869F443B6C1BE127A59B0B5A89 |
| ステージ3ローダー | ADAB6C337E403AF0040D77A56DAF3BA0 |
| ステージ4ローダー | 9BF17E6525A295FB6E5EB562DEB927AE |
| STX RATペイロード | C781B1B559A585BB764B10176D64486C |
注: IPアドレスとドメインは、誤った解決またはハイパーリンクを防ぐために意図的に欠陥化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再利用してください。
翻訳元: https://gbhackers.com/hackers-hijack-hwmonitor/
