新たに確認されたGremlin stealerマルウェアの亜種が、高度な難読化技術を使用して、暗号化された.NETリソースセクション内にコマンド・アンド・コントロール(C2)インフラストラクチャとデータ流出ロジックを隠蔽しています。
この進化は、現代的なinfostealerキャンペーンにおいて、ステルス性、モジュール化、分析対抗能力の向上に向かう重大な転換を強調しています。
その標的には、ブラウザに保存された認証情報、セッショントークン、暗号資産ウォレット、クリップボードデータ、およびVPNまたはFTP認証情報が含まれています。盗まれたデータはパッケージ化され、攻撃者が管理するインフラストラクチャに流出され、そこで売却または公開リークされる可能性があります。
研究者は、hxxp[:]194.87.92[:]109でホストされている新しい流出エンドポイントを特定しました。発見時、インフラストラクチャはVirusTotalでゼロ検出を示し、ブロックリストエントリまたはコミュニティレポートはありませんでした。
データ収集後、Gremlin Stealerは盗まれたアーティファクトをZIPアーカイブに圧縮し、被害者のパブリックIPアドレスでラベルが付けられます。
GBhackersと共有したレポートでPalo Alto Networks Unit 42は述べたところによると、Gremlin stealerは地下Telegramチャネル経由で積極的に配布されており、侵害されたシステムから機密データを収集するように設計されています。
これらのアーカイブには通常、ブラウザクッキー、セッショントークン、クリップボード内容、暗号資産ウォレットデータ、および保存された認証情報が含まれており、攻撃者が被害者を容易に特定して利益を得ることができます。
グレムリン・スティーラーがC2を隠蔽
この亜種の重要な進歩は、その悪意のあるペイロードを.NETリソースセクションに移転することです。ペイロードはXOR符号化され、静的分析中は不透明なデータとして表示されます。
このテクニックは従来のシグネチャベースのツールによる検出を防ぎ、APIコールやハードコードされたURLなどの重要な指標を隠蔽します。
簡単な単一バイトXOR復号化ルーチンを適用することで、研究者は隠れた設定を回復し、埋め込まれたC2 URLと流出パスを明かしました。
このアプローチはAgent Teslaなどのマルウェアファミリー、LokiBot、GuLoader、およびQuasar RATが使用するタクティクスに類似しています。
以前のバージョンとは異なり、読み取り可能なコードと関数名を公開していましたが、最新のGremlin亜種はステージ化されたロードを使用しています。
悪意のあるコンポーネントは、必要な場合にのみメモリ内で復号化され実行され、アナリストは動的デバッグに依存して動作を観察することを強制されます。
このバージョンでは、複数の機能アップグレードも導入されています:
- Discordトークン抽出、モダンアイデンティティプラットフォームをターゲット。
- クリップボードハイジャック(クリプトクリッパー)、リアルタイムでウォレットアドレスを置き換え。
- WebSocketベースのセッションハイジャック、ライブブラウザセッションの盗難を有効にします。
- Chromiumベースのブラウザとインメモリデータのターゲティング拡大。
分析されたサンプル(SHA256: 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b)は、命令仮想化を採用している商用パッキングユーティリティを使用して保護されていました。
このメソッドは元のコードをプライベート仮想マシンによって実行されるカスタムバイトコードに変換し、逆エンジニアリングを大幅に複雑にします。
分析対抗技術
マルウェアは難読化の複数のレイヤーを組み込んでいます:
- 識別子名の変更:関数と変数は無意味なラベル(例:a、b、hf)に削減され、コンテキストを削除し、分析を複雑にします。
- 文字列暗号化:すべての機密文字列は暗号化されて保存され、実行時にデコーダ関数経由で取得され、キーワードベースの検出を防止します。
- 制御フロー難読化:実行パスは、アナリストを混乱させるために、冗長なロジック、ジャンプ、およびループを使用して意図的に複雑にされています。
例えば、シンプルなAPIコールは、実行中にのみ文字列を再構築する復号化ルーチンの背後に隠されており、外部IP検索サービスなどのインジケータをマスキングします。
Palo Alto Networksは、ネットワークセキュリティ、Cortex XDR、XSIAM、Advanced WildFire、Advanced Threat Prevention、Advanced URL Filtering、およびDNS Securityを含む、Gremlin stealerに対する保護を提供するセキュリティエコシステムを報告しています。
侵害を疑う組織は、調査と修復のためにUnit 42 Incident Responseチームに連絡することをお勧めします。
Gremlin stealerの継続的な進化は、サイバー犯罪の広範なトレンドを強調しています:基本的な認証情報収集からリアルタイム金融詐欺とセッションハイジャックが可能な高度にモジュール化された回避的マルウェアへの転換です。
IOCs
SHA256ハッシュ
- 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b
- 9aab30a3190301016c79f8a7f8edf45ec088ceecad39926cfcf3418145f3d614
- 971198ff86aeb42739ba9381923d0bc6f847a91553ec57ea6bae5becf80f8759
- ab0fa760bd037a95c4dee431e649e0db860f7cdad6428895b9a399b6991bf3cd
- f76ba1a4650d8cafb6d3ff071688c5db6fd37e165050f03cece693826f51d346
- a9f529a5cbc1f3ee80f785b22e0c472953e6cb226952218aecc7ab07ca328abd
- 691896c7be87e47f3e9ae914d76caaf026aaad0a1034e9f396c2354245215dc3
- 281b970f281dbea3c0e8cfc68b2e9939b253e5d3de52265b454d8f0f578768a2
- 9fda1ddb1acf8dd3685ec31b0b07110855832e3bed28a0f3b81c57fe7fe3ac20
- d11938f14499de03d6a02b5e158782afd903460576e9227e0a15d960a2e9c02c
- 1bd0a200528c82c6488b4f48dd6dbc818d48782a2e25ccd22781c5718c3f62f5
URL
- hxxp[:]194.87.92[:]109/i.php
注意: IPアドレスとドメインは意図的に難読化されており(例:[.])、偶発的な解決やハイパーリンクを防止します。MISPやVirusTotalなど、制御された脅威インテリジェンスプラットフォーム内でのみ復元してください。
翻訳元: https://gbhackers.com/gremlin-stealer-hides-c2/
