REF6598インtrusion setの最終段階として、PHANTOMPULSE と名付けられた高度なリモートアクセス型トロイの木馬(RAT)の実態が明らかになりました。
このマルウェアは悪意あるObsidianプラグインを通じて配布され、高度な検出回避技術、ブロックチェーンを利用したコマンド&コントロール(C2)チャネル、そして公知のユーザーアカウント制御(UAC)バイパス手法を組み合わせてWindowsシステムへの侵害を図ります。
バイナリにはAIによるコーディング支援の痕跡が色濃く残っています。開発者は「[STEP 1] Staged mode」のような詳細なデバッグ文字列や段階的な番号付けをコード内に残しており、これは大規模言語モデルが生成する診断スタイルと非常に一致しています。
PHANTOMPULSEは現代のセキュリティソフトウェアに対して強固な防御機構を備えています。Antimalware Scan Interface(AMSI)、Windows Lockdown Policy(WLDP)、Windows イベントトレーシング(ETW)を、高度に隠蔽されたハードウェアブレークポイント技術によって無効化します。
このマルウェアはメモリ上のAPIコードにパッチを当てる代わりに、対象となるセキュリティ関数にハードウェアブレークポイントを設定します。
システムがその関数を実行しようとすると、カスタム例外ハンドラーが呼び出しを捕捉し、「成功」を偽装したレスポンスを返しながらプログラムの実行を継続します。これにより、シグネチャベースのメモリスキャナーを事実上無効化することができます。
再起動後も持続性を維持するため、マルウェアはコアファイルを暗号化されたレジストリブロブ内に隠蔽し、標準的なユーザーディレクトリに一時ファイルを展開します。
さらに、.NETフレームワークの定期アップデートを装った複数のスケジュールタスクを作成します。
PHANTOMPULSEのC2インフラは分散型であり、公開ブロックチェーンからデータを読み取ることで動作します。マルウェアはEthereum、Base、Optimismの各台帳に対して3つの異なるBlockscoutプロバイダーに問い合わせを行います。
特定のウォレットアドレスを特定したうえで最新のトランザクション入力を読み取り、そのデータを復号してアクティブなC2 URLを取得します。
興味深いことに、この仕組みは攻撃者側にとって重大な脆弱性をもたらします。マルウェアはトランザクションの送信者を検証しないのです。
防御側のネットワーク担当者は、シンクホールURLを含む独自のトランザクションを送信することで、アクティブなすべてのPHANTOMPULSEインプラントのトラフィックを防御者が管理するサーバーへとリダイレクトさせることができます。
マルウェアが通信を確立すると、システムの調査を開始します。標準的なウイルス対策ソフトウェアを確認するとともに、暗号資産ウォレット、暗号化メッセンジャー、二要素認証ツールといった高価値アプリケーションを重点的に探索します。
Elasticの調査によると、PHANTOMPULSEは「schuac」技術と呼ばれる既知のUACバイパスを利用しています。これは自動的に昇格された権限が付与されるWindowsメンテナンス用COMインターフェースを悪用するものです。
マルウェアはこの信頼されたインターフェースを通じてタスクスケジューラと連携し、一時的な昇格タスクを登録します。
このタスクは即座にマルウェアを完全な管理者権限で再起動させ、セキュリティプロンプトを発生させることなく標準ユーザーの制限を回避することを可能にします。
サイバーセキュリティアナリストは、このキャンペーンをBlueNoroffなどのクラスターを含む北朝鮮(DPRK)系の脅威アクターによるものと分析しています。
暗号資産ウォレットへの強い関心、macOSマルウェア亜種との重複、そしてC2解決にブロックチェーンネットワークを悪用するという手口は、北朝鮮の作戦における既知の特徴と一致しています。
防御担当者は、マルウェアのC2暗号化ルーティンが一貫して生成する固有の0x580c0x580cというHexシグネチャをブロックチェーン台帳で検索することで、新たなインフラを能動的に追跡することができます。
翻訳元: https://cyberpress.org/phantompulse-rat-bypasses-uac/