ロシアの利益に関連した脅威アクターであるUAC-0184グループは、ウクライナ国防軍を標的とした複雑なマルウェアキャンペーンを開始しました。
攻撃チェーンはViberなどのメッセンジャーアプリケーションを利用して、軍事報告書または法的手続きに偽装した社会工学的な誘い文句を配信します。
bitsadminおよびHTMLアプリケーション(HTA)ファイルなどのliving-off-the-land バイナリ(LOLBins)に依存し、攻撃者は非常に回避的なマルチステージローダーを展開します。
このキャンペーンは、正規のソフトウェアを利用して悪意のあるペイロードを実行し、検出をバイパスし、プロセスメモリをダンプする動きの増加傾向を浮き彫りにしています。
感染は、正規のPDF、Word、またはExcelドキュメントに偽装したLNKファイルを含む悪意のあるZIPアーカイブで始まります。実行時に、これらのショートカットはWindows bitsadminコマンドラインツールを悪用して、リモートサーバーから兵器化されたHTAファイルをダウンロードします。
HTAスクリプトは隠されたPowerShellコマンドを呼び出して、コアペイロードを含むセカンダリZIPアーカイブをフェッチして抽出します。アンチウイルスソフトウェアを回避するために、UAC-0184は精密な DLLサイドローディング チェーンを採用しています。
攻撃者は、Plane9という3Dミュージックビジュアライザーの一部であった、Cluster-Overlay64.exeという正規の署名付き実行ファイルを使用しています。
起動時に、このプログラムはPlane9Engine.dllを無意識に読み込み、その後openvr_api.dllに偽装した悪意のあるローダーを読み込みます。
セキュリティアナリストを困らせるための巧妙な試みとして、マルウェアは明示的な文字列操作を回避しています。
ファイル名をハードコードする代わりに、ポインター部分文字列技術を使用して、埋め込みデータブロックからfilter.binおよびkernel-diag.libなどの文字列を動的に抽出します。
ローダーはkernel-diag.libをデコードして悪意のあるシェルコードを抽出し、これは正規のMicrosoft Enhanced Video Renderer コンポーネント(evr.dll)を模倣しています。このシェルコードは、攻撃の次のステージをオーケストレーションおよびデコードするパーサーとして機能します。
攻撃者はファイル形式操作に大きく依存してペイロードを隠します。filter.binファイルは最初、基本的なセキュリティスキャナーをバイパスするために破損したPNG画像として表示されます。
ただし、マルウェアのシェルコードはPNGのIDATチャンクをパースし、隠されたデータを連結し、カスタムXOR復号化ループを適用します。
結果のペイロードはマイクロソフトのネイティブLZNT1形式を使用してさらに解凍され、精密な2 MBのマルウェアペイロードが明らかになります。
攻撃の最終段階では、正規のマイクロソフト署名Visual Studio実行ファイル(VSLauncher.exe)の隣に悪意のあるinput.dllが配置されます。
ドロップされたツールの中には、デジタル署名付きの無害なWindowsユーティリティが複数含まれています。最も懸念すべき含有物はPassMark Endpointで、署名付きネットワークテストツールです。
PayloadをPassMark環境にサイドローディングすることで、攻撃者は双方向TCPチャネルおよび非特権ポート上のUDPマルチキャストディスカバリを含む正規のネットワーク機能にアクセスできるようになります、synapticsystemsが述べた。
翻訳元: https://cyberpress.org/uac-0184-abuses-bitsadmin-hta/