層状化された難読化、多段階ペイロード配信、隠蔽されたコマンド・アンド・コントロール(C2)通信を使用して暗号資産クリッパーマルウェアを配置する大規模なCountLoaderキャンペーン。
このキャンペーンは、JavaScript、PowerShell、メモリ内シェルコード実行を組み合わせて検出を回避し、感染したシステム全体での永続性を維持する複雑な感染チェーンで目立っています。
攻撃は、PowerShellワンライナーを起動する悪意のある実行ファイルで始まります。このスクリプトは、難読化されたJavaScriptローダーをダウンロードしてデコードし、セキュリティコントロールをバイパスするために一般的に悪用される正当なWindowsユーティリティmshta.exeを介して実行されます。
一度アクティブになると、ローダーはスケジュール済みタスクを作成することで永続性を確立し、複数のC2サーバーとの通信を開始します。
GBhackersと共有したレポートでMcAfee Labsは述べています。多段階ペイロード配信と重大な難読化技術を使用する大規模なCountLoaderキャンペーン。
逆順で接続を試み、機能するサーバーが見つかるまで試行し、弾力性を確保します。
ペイロード配信チェーンは複数の段階で展開されます:
- JavaScriptローダー(CountLoader):mshta.exeを介して実行され、C2通信を開始します。
- PowerShellパッカー:追加のペイロードステージを復号化して起動します。
- インジェクター:AMSI等のセキュリティメカニズムを無効化し、正当なプロセスにシェルコードを注入します。
- シェルコード実行:最終ペイロードをメモリに直接ロードします。
- 最終ペイロード:systeminfo.exeで実行され、暗号資産クリッパーマルウェアを配置します。
このファイルレス実行アプローチにより、従来のアンチウイルスツールによる検出が大幅に削減されます。
研究者はマルウェアのC2通信メカニズムの欠陥を特定し、バックアップドメイン(hell10-kitty[.]cc)を登録することで悪用し、効果的にトラフィックをシンクホール化しました。
シンクホーリングは、悪意のあるドメインが研究者制御のインフラストラクチャにリダイレクトされる防御技術で、攻撃者に警告することなく感染したシステムの可視性を可能にします。
この方法を使用して、McAfeeは以下を観察しました:
- 1分あたり約5,000の感染したシステムが接続しています。
- 世界中で約86,000の一意の感染マシン。
- 広範な地理的フットプリント。インドで最も感染が多く、その後インドネシア、米国、および東南アジアが続きます。
マルウェアは通信用のカスタム暗号化プロトコルを使用します。各メッセージはランダムに生成された6桁のキーとXOR操作およびBase64エンコーディングを組み合わせて符号化され、ネットワークレベルの検出がより困難になります。
JavaScriptマルウェアキャンペーン
ネットワークベースの拡散に加えて、CountLoaderは取り外し可能なメディアを通じて伝播します。USBドライブの正当なファイルを悪意のあるLNKショートカットに置き換え。これはマルウェアを実行しながら元のファイルを開いて疑いを避けます。
- EXE、DLL、MSI、HTA、およびPowerShellファイルの実行。
- USBドライブ経由での拡散。
- システムおよびドメイン情報を攻撃者に送信します。
- 分析を回避するための自己アンインストール。
テレメトリーは、USB ベースの伝播に関連する約9,000の感染を示唆しています。ランチャーによって実行されるPowerShellスクリプトは、単純なパッカーとして機能します。
このキャンペーンの最終ペイロードは暗号資産クリッパーです。これは金融トランザクションをハイジャックするように設計されたマルウェアの一種です。クリップボードアクティビティを継続的に監視し、コピーされたウォレットアドレスを攻撃者制御のものと置き換えます。
ステルス性を維持するために、マルウェアはEtherHidingを使用してそのC2アドレスを取得します。これは悪意のあるインフラストラクチャデータを保存・取得するためにEthereumなどのブロックチェーンプラットフォームを活用する技術です。
また、インストールされた暗号資産ウォレットとブラウザ拡張機能に関する情報を収集することで感染したシステムをプロファイリングし、攻撃者が高価値のターゲットを優先することを可能にします。
CountLoaderは、30分または60分ごとに実行されるスケジュール済みタスクを通じて長期的な永続性を確保します。また、CrowdStrikeやReason AVなどのセキュリティツールが検出された場合、実行パターンを変更して検出を回避することで動作を適応させます。
信頼できるWindowsユーティリティの使用、重大な難読化、メモリ内実行、および暗号化された通信の使用により、このキャンペーンは特に検出と分析が困難になります。
このキャンペーンは、マルウェアローダーの増加する高度化と、規模に応じて金銭的に動機付けられたペイロードを配信するための多層技術の使用の増加を強調しています。
侵害インジケーター
| IOC |
|---|
| 5f9ff671955a6d551595f9838aed063c496da5039be0d222fe84f96cb3e1d32a |
| https://memory-scanner[.]cc/Presentation[.]pdf |
| 3c278499c5e3ced3bf1a6a7287808c5267075f1dec0aa5c7be2c4c444f33f2bc |
| https://memory-scanner[.]cc/ |
| https://hell1-kitty[.]cc/update1_usb_usb_usb[.]VOcx4wEV8 |
| c68e436d4cb984db026210806f50d0c81eec5f6e4860197dab91fab6f31ef796 |
| e2faad8111e7d47349cbc549b85e62231b8678057906bc813aad7242fa95ae63 |
| e5e1d8ec4cd109df290752ee3d4b2cbc9de6df4360e9983548f1bc6b1d088540 |
| hell1-kitty[.]cc |
| alphazero1-endscape[.]cc |
| api-microservice-us1[.]com |
| bucket-aws-s1[.]com |
| bucket-aws-s2[.]com |
| fileless-storage-s3[.]cc |
| globalsnn1-new[.]cc |
| globalsnn2-new[.]cc |
| globalsnn3-new[.]cc |
| handle-me-sv1[.]com |
| hardware-office[.]cc |
| health-smooth-eu1[.]com |
| health-smooth-eu2[.]com |
| health-smooth-eu3[.]com |
| holiday-updateservice[.]com |
| memory-protection-layer1[.]cc |
| memory-protection-layer2[.]cc |
| microservice-update-s1-bucket[.]cc |
| microservice-update-s2-bucket[.]cc |
| my-smart-house1[.]com |
| polystore9-servicebucket[.]cc |
| s3-updatehub[.]cc |
| 10593dbe9edfde7943fdaadd7882f190216b2f6502667daf701088a6e810deaf |
| 0a69a9cc75d65774e5eb90a4a739bd4335d33b176dc4923acb691bd45af66bdf |
| 27c6a6bda2c0ef3ecb78dad9c6bb7c3abaf2e32b3ad96f372a0102c0c9c0f08d |
| 2cd449f1bb24f05d2e240812a74bd62f2583bbbe4d0ccc9ae5736240e29a0068 |
| 30dcd5c71beb76d2f8df768d5fd9e9145cb8fbbfc951a63b969d26d3b64002b9 |
| dd4c7f5aae404816cf447b8090b620c1a1971a35c6791116aa3f871f00ae011b |
| 42a1fc74334c9a3b8720c79df55f84c7398bd31609eb10581e8c7155835498e3 |
| 9c0d334aac5a6f66016dc5ce8df75c46d519a4e6d16c68cf2b1405c81189186d |
| 44f6313e9542c0d51937a70160fe4137012905d8c79ad27ccc0021788ecfaa4e |
| https://hell1-kitty[.]cc/gamecenter[.]fileManager |
| https://hardware-office[.]cc/foundation[.]halflife |
| cbdfb46b9265a3dfb3bc6b0aade472dde28b1660dbd3ded3b67b1530b4497cca |
| 4a5e1d6ee1217e1fbacf54fc6017fbf9d24a25078266b02358d56a9c7437ceb7 |
| 05becb67d8bf1e49fcfccb0d346b82368a2b1c2bf07316078c364c7b020154de |
| 44daa1b68737b55a711963eec211c7c018bcba4cb6d68c286a4b45ea781a7d73 |
| dc602cb53a9c24abfcdaadf0ca8256b5fb5cac6d91d20ed8431bdaaf51c0cafe |
| https://edr-security-bucket1[.]cc/ |
注意:IPアドレスとドメインは意図的に難読化されています(例:[.])。意図しない解決またはハイパーリンクを防止します。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ難読化を解除してください。
