TokyoBlackHatNews

gbhackers.com 4分で読了

Gremlin Stealer が検出を回避するために .NET リソースにペイロードを隠蔽

新たに発見された Gremlin Stealer の亜種は、検出フットプリントを大幅に削減するステルス重視の技術を採用することで、セキュリティ研究者の間で懸念を引き起こしています。

Gremlin Stealer は Telegram で積極的に販売されている情報盗難マルウェアです。支払いカード情報、ブラウザクッキー、セッショントークン、暗号資産ウォレット、保存された FTP または VPN 認証情報など、感染したシステムから幅広い機密データを対象としています。

収集されたデータはパッケージ化され、攻撃者が管理するインフラストラクチャに流出され、転売または公開流出されます。

研究者は新たにデプロイされた流出サーバを hxxp[:]194.87.92[:]109 で特定し、当初は VirusTotal でゼロ検出を示しており、レピュテーションベースの防御をバイパスする能力を強調しています。

Palo Alto Networks が GBhackers と共有したレポートで述べたように、マルウェアは今や悪意のあるペイロードを .NET リソースファイル内に隠蔽しており、従来のセキュリティツールが疑わしい行動を識別することをはるかに難しくしています。

Image

感染後、マルウェアは盗まれたデータを被害者の公開 IP アドレスでラベル付けされた ZIP アーカイブに圧縮してから、このサーバにアップロードします。

このステルスな展開は、攻撃者が運用上のセキュリティを優先させており、キャンペーンの初期段階でインフラストラクチャが検出されないようにしていることを示唆しています。

.NET リソース内のペイロード

最も注目すべき進歩の 1 つは、マルウェアが .NET リソースセクションを使用してコアペイロードを保存することです。攻撃者は読み取り可能なコードを埋め込む代わりに、単純な XOR スキームを使用してデータをエンコードし、ランダムで不透明なデータのように見せかけます。

Image

実行されると、マルウェアはメモリ内でこの隠されたペイロードを復号化し、コマンド アンド コントロール (C2) URL と実行ロジックを明かします。

この手法は、Agent Tesla のような悪名高いマルウェアファミリーと LokiBot が使用する方法を反映しており、これらも静的分析を回避するためにリソースセクションを悪用しています。

たとえば、Gremlin はコード内に URL を直接公開する代わりに、暗号化されたバイト列をリソースファイル内に保存し、実行時にのみデコードします。これにより、アナリストとアンチウイルスエンジンがスキャン中に既知の悪意のある文字列を検出できなくなります。

Image

以前のバージョンと比較して、最新の Gremlin 亜種はステージング実行モデルを導入しています。重要な機能は必要な場合にのみメモリに復号化してロードされ、アナリストは静的検査ではなく動的分析に依存することを強制します。

マルウェアはまた、複数層の難読化を採用しています:

  • 識別子の名前変更は、意味のある関数と変数の名前を無作為な文字に置き換え、コンテキストを削除します。
  • 文字列暗号化は、URL と API エンドポイントを含むすべての重要なデータを、カスタムデコーディングルーチンの背後に隠します。
  • 制御フロー難読化は、逆エンジニアリングを遅くする複雑で誤解を招く実行パスを導入します。

さらに、研究者によって分析されたサンプルの 1 つは、命令仮想化を実装する商用パッキングユーティリティを使用して保護されていました。これにより、元のコードがプライベート仮想マシンによって実行されるカスタムバイトコードに変換され、分析がさらに複雑になります。

Gremlin Stealer は基本的な認証情報収集を超えて、モジュール式ツールキットに進化しました。新しい機能には、Discord トークン盗難が含まれており、攻撃者がユーザーの身元とアカウントを乗っ取ることができ、WebSocket ベースのセッションハイジャックは、ブラウザメモリから直接ライブセッションデータを抽出します。

Gremlin スティーラーの反復 (SHA256 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b) はパッキングユーティリティを使用してパックされました。

Image

特に危険な追加は、その暗号クリッパーモジュールです。この機能はクリップボード活動を監視し、暗号資産ウォレットアドレスをリアルタイムで攻撃者が管理するものに置き換え、トランザクション中にサイレント金銭盗難を可能にします。

Palo Alto Networks は、Cortex XDR、XSIAM、Advanced WildFire、Advanced Threat Prevention を含むセキュリティスタックが Gremlin Stealer アクティビティに対する保護を提供していると報告しています。

組織は異常な外向きトラフィックを監視し、メモリ常駐動作を検査し、高度なエンドポイント検出ツールを適用して同様の脅威を識別することが推奨されています。

Gremlin Stealer の急速な進化は、より広い傾向を強調しています。商品化されたマルウェアはますます高度になり、かつて高度な脅威アクターのために予約されていた技術を借用しています。

翻訳元: https://gbhackers.com/payloads-in-net-resources/

ソース: gbhackers.com
#.NETリソース隠蔽 #Gremlin Stealer #Palo Alto Networks #エンドポイント検出 #セッションハイジャック #マルウェア #情報盗難 #暗号資産盗難 #検出回避 #難読化技術

関連記事

ガマレドンがフィッシングキャンペーンでGammaDrop、GammaLoadを展開

NGINXの重大な脆弱性によるリモートコード実行攻撃

Paper Werewolf APTがフェイク Adobe インストーラー経由で EchoGather RAT を拡散