ハッカーが巧妙に偽造した発注書や販売書類を悪用し、新たなJavaScriptバックドア「JS.MonoGlyphRAT」を米国企業に侵入させています。このマルウェアは感染システム上でひそかに持続性を確立し、完全なリモートコントロールを可能にします。
マルウェアは発注書、見積書、ビジネス提案書を装った.jsファイルの添付ファイルとして届き、購買・営業・財務部門のスタッフをダブルクリックして実行するよう誘導します。
実行されると、wscript.exeとして動作して通常のWindowsアクティビティに溶け込みながら、HTTP経由でコマンド&コントロール(C2)サーバーにひそかに接続し、ホストを登録してコマンドを受信します。
この脅威は米国の組織を積極的に標的にしており、テクノロジー、MSSP、通信、教育分野での被害が確認されています。また、ドイツ、スウェーデン、オーストラリア、コスタリカ、ギリシャ、ポーランド、トルコでも活動が観測されています。
一般的なスクリプトファイルのように振る舞い、C2通信に非標準のポートやパスを使用するため、多くの従来型エンドポイント防御はこれを悪意あるファイルとして検知できません。
GBhackersと共有したレポートでANY.RUNの研究者は、JS.MonoGlyphRATをこれまで帰属が特定されていなかったJavaScriptベースのRATおよびローダーとして記録しています。このマルウェアはWindows Script Host(WSH)経由で配布されます。
JS.MonoGlyphRATは独特の「モノグリフ」難読化パターンを使用しています。変数名や関数名は大文字・小文字を混在させた繰り返し文字(例:IiIiIiIiiIII、KkkKKKkKkK)で構成されており、コードの可読性を著しく低下させ、静的解析を困難にしています。
分析されたサンプルは高度に難読化されたJScriptファイルで、WSH経由で実行されます。実行直後に不審なスクリプト活動に関連する挙動シグネチャが発生し、非標準ポート上のハードコードされたC2 IPへのアウトバウンドHTTPトラフィックが生成されます。
内部的には、WScriptとWMIのラッパーオブジェクトを構築し、プロセス実行、PowerShell呼び出し、ファイルシステム操作、レジストリ書き込み、テレメトリ収集、C2サーバーとのHTTP通信を標準化しています。
このフレームワークにより、RATは持続的なバックドアと柔軟なローダーの両方として機能します。複数のAES暗号化PowerShellステージャーを連鎖させ、追加ペイロードの配信、シェルコマンドの実行、さらにはAMSIをバイパスしたうえでのメモリ内.NETアセンブリ実行まで可能にしています。
偽の発注書によるJS.MonoGlyphRATの拡散
初回実行時、スクリプトは自身を%USERPROFILE%のサブディレクトリにコピーし、HKCUのRunレジストリキーに自動実行エントリを書き込んで持続性を確立します。
初回C2チェックイン時には、WMI経由でホストのテレメトリを収集します。収集される情報はドメインとユーザー名、シャーシのシリアル番号、OSのキャプション、メモリサイズ、ハードウェアモデル、プロセッサ、GPU、固有のプロセスリストなどで、これらのデータをHTTP POSTでC2エンドポイントに送信します。
サーバーはHTTPレスポンスヘッダーを通じてクライアントを制御します。X‑SセッションIDとX‑AコマンドIDが、自身の更新・アンインストールから、ファイルのダウンロード・実行、AES暗号化PowerShellコマンドの実行、.NETペイロードのメモリ内ロード、XORエンコードされたJSONによる拡張ホストプロファイルデータの窃取まで、RATの動作を制御します。
このプロトコル設計により、攻撃者は長期間にわたるビーコンループを維持でき、休眠状態とアクティブ状態を切り替えながら、初期の足がかりから完全なネットワーク侵害へと侵入を段階的にエスカレートさせることができます。
JS.MonoGlyphRATはキルチェーンの初期または中間ステージのローダーとして位置づけられており、侵害したホストの価値を確認した脅威アクターが、ランサムウェア、データ窃取ツール、追加のRATを配信するための安定したプラットフォームを提供します。
米国の中規模企業にとって、感染が成功した場合、ランサムウェアの要求額、規制上のペナルティ、契約上の責任、長期にわたる業務停止を考慮すると、被害総額は数百万ドル規模に膨らむ可能性があります。
このマルウェアクラスターは帰属が特定されておらず、VirusTotalやThreatFoxなどの公開フィードでは依然として「不明なマルウェア」と分類されているため、従来のシグネチャベースのウイルス対策ソフトでは十分な保護が得られず、多くの環境でこの活動への対応が事実上困難な状態となっています。
特に強固なセキュリティ対策を顧客から求められるMSSPやテクノロジーベンダーにとっては、評判の失墜や顧客離れによって、即時のインシデント対応コストをはるかに上回る影響が生じる可能性があります。
現時点では、挙動検知とプロアクティブなハンティングがJS.MonoGlyphRATに対する最も信頼性の高い防御手段です。
主要なアーティファクトとしては、ユーザーディレクトリからの異常なwscript.exe実行、スクリプトインタープリターによって呼び出された連鎖PowerShellプロセス、不審なHKCU Runの変更、そして158.94.211.76上のceoznpエンドポイントなど非標準のポートやパスへのHTTPビーコンが挙げられます。
セキュリティチームは、堅牢な検知体制を構築するために、これらのパターンをSuricataルールIDや脅威インテリジェンスソースからの関連インフラ情報で補完することが推奨されます。
不審な発注書テーマの.jsファイルをエンドポイントに届く前にインタラクティブなサンドボックス内で実行・解析することで、組織は曝露期間を大幅に短縮し、MonoGlyphRATによる侵害が高コストなインシデントに発展する前に食い止めることができます。
侵害の痕跡(IOC)
ネットワークアーティファクト
| 種別 | アーティファクト |
|---|---|
| URL | hxxp[://]158[.]94[.]211[.]76:34567/ceoznp |
| IPアドレス | 158[.]94[.]211[.]76 |
| IPアドレス | 91[.]92[.]243[.]79 |
| ドメイン | scan[.]aryamint[.]com |
| ドメイン | aryamint[.]com |
HTTP / C2プロトコルアーティファクト
| カテゴリ | アーティファクト / パターン |
|---|---|
| HTTPヘッダー | X-A: |
| HTTPヘッダー | X-S: |
| POSTボディパターン | a=iz&b=<data> |
| クエリパラメータ | ia=<session_id> |
| クエリパラメータ | ex=<token> |
| クエリパラメータ | sb=<token> |
| クエリパラメータ | vc=<token> |
| クエリパラメータ | df=0 or df=<token> |
| クエリパラメータ | kp=<token> |
| クエリパラメータ | tw=<token> |
| クエリパラメータ | fp=1 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング処理を行ってください。
翻訳元: https://gbhackers.com/fake-purchase-orders-spread-js-monoglyphrat/
