サイバー犯罪者は、中国の脅威アクターに関連した高度なマルウェアであるValleyRATを配布するために、Microsoft Teamsブランドを積極的に悪用しています。
4月中旬、セキュリティ研究者は、正規のMicrosoft Teamsダウンロードページを完全に模倣した偽のディストリビューションサイトを発見しました。
これらの欺瞞的なドメインは、疑いのないユーザーを欺いて、標準のZIPアーカイブに偽装したトロイの木馬化されたインストーラをダウンロードさせます。
このキャンペーンは、巧妙なソーシャルエンジニアリングとステージ化されたペイロード配布、メモリ内復号化、ステルス性のある永続化メカニズムをブレンドした、例外的にクリーンな実行チェーンで注目されています。
中国語の成果物と特定のレジストリ使用パターンを含むキャンペーンからの証拠は、SilverFoxAdvanced Persistent Threat (APT)グループを強く指しています。
攻撃は、被害者がteams-securecall[.]comなどの詐欺的なドメインにアクセスしてZIPファイルをダウンロードするよう促されたときに始まります。抽出されると、アーカイブは複数の隠されたコンポーネントをシステムにドロップする悪意のあるNSISベースのインストーラを起動します。
疑いを起こさないようにするために、正規のMicrosoft Teamsインストーラもドロップし、通常のデスクトップショートカットを作成します。
ユーザーが標準インストールが行われていると思い込んでいる間に、マルウェアはバックグラウンドで黙ってDLLサイドローディング攻撃を開始します。
Tencentが元々開発したGameBox.exeという正規の実行ファイルを悪用して、Utility.dllという悪意のあるファイルを読み込みます。
実行直後、マルウェアはシステムの防御を中和することに移ります。
PowerShellコマンドを実行して、パスおよびプロセスのWindows Defenderへの除外を追加し、悪意のある作業ディレクトリとUtility.dllがアンチウイルススキャンによって完全に無視されるようにします。
その後、マルウェアは自分自身をProgramDataフォルダにコピーし、ファイル属性を変更して、通常の検査から隠れたままにします。
プレーンテキストウイルスを実行するのではなく、インストーラはAES暗号化された主要なシェルコードペイロードをドロップします。マルウェアはこのファイルをシステムのメモリに直接復号化し、ハードドライブを完全にバイパスして、従来のファイルベースのセキュリティツールを回避します。
この復号化されたローダーは、現在のプロセス内でメモリを割り当て、次のステージを注入し、完全に見えないところで動作します。
さらに行動を隠すために、マルウェアはAPIハッシングを使用してWindows関数を動的に解決し、明らかなプレーンテキストAPIの名前をコードに保存するのではなく、k7は述べています。
攻撃の最終段階では、Command and Control (C2) サーバに接続して最終ペイロードをダウンロードすることが関わります。
この最終パッケージはカスタムXOR操作で暗号化されて到着し、完全に機能するValleyRATモジュールが含まれています。
攻撃者はこのペイロードを動的に取得するため、特定のキャンペーンの目標に応じて異なるツールを配信するために簡単にそれを交換できます。
アクティブになると、ValleyRATは被害者をスパイして、システムクリップボードを監視して、パスワードと暗号通貨アドレスなどの機密データを盗みます。
翻訳元: https://cyberpress.org/fake-teams-spread-valleyrat/