高度な隠蔽性を持つサイバー攻撃が米国企業に忍び込み、標準的なセキュリティツールをすり抜けて持続的なアクセスを確立しています。ANY.RUNの研究者が、「JS.MonoGlyphRAT」と名付けられた新たなバックドアを発見しました。
この高度なマルウェアは、発注書や見積書といった日常的なビジネス文書に偽装し、シンプルなJavaScriptファイルとして配布されます。
不審に思わない従業員がファイルをクリックすると、攻撃者は企業ネットワークへの気づかれにくい深いアクセス権を手に入れます。
現在、米国全土で活動中のこのキャンペーンは、テクノロジー分野、マネージドセキュリティサービスプロバイダー(MSSP)、教育機関、通信事業者を主な標的としています。
MonoGlyphRATはローダーとして機能するため、一度感染すると壊滅的なランサムウェアの展開、データ侵害、ビジネスメール詐欺(BEC)へと急速に発展する恐れがあります。
従来のシグネチャベースのウイルス対策ソリューションはこの脅威をほぼ検出できず、現時点ではVirusTotalやThreatFoxなどのプラットフォームで「不明なマルウェア」として分類されています。
分析の過程で、セキュリティ研究者はこのマルウェアが独特の「モノグリフ」難読化技術を使用していることを確認しました。
変数名や関数名を「IiIiiiiiiIiIIi」のように大文字と小文字を交互に組み合わせた同一文字の繰り返しで構成することで、静的解析を著しく困難にしています。マルウェアはwscript.exeプロセスを通じてWindows Script Hostで実行されます。
初回実行時、スクリプトはユーザーディレクトリに自身をコピーし、Windowsレジストリに書き込むことで永続性を確立します。
続いて、システムシリアル番号、OSの詳細、プロセッサ名など詳細なホスト情報を収集します。
収集したデータはコマンド&コントロール(C2)サーバーに送信されます。マルウェアは非標準のHTTPポートを介して通信し、セッションIDには「X-S」、コマンド実行には「X-A」といったカスタム制御ヘッダーを使用します。
静的シグネチャではMonoGlyphRATを検出できないため、最も有効な防御手段は振る舞い検知です。マルウェアの実行チェーンには明確な振る舞いの痕跡が残るため、セキュリティチームは自社環境内で積極的に脅威ハンティングを行うことができます。
ANY.RUNのインタラクティブサンドボックスを使用することで、アナリストはこれらの不審なJavaScript添付ファイルを安全に実行し、悪意のあるプロセスツリーやネットワークビーコンを即座にマッピングできます。
振る舞い分析を組み込み、最新の脅威インテリジェンスを活用することで、組織はMonoGlyphRATに関連する難読化スクリプトや暗号化されたネットワークトラフィックを特定できます。
こうした初期段階のローダーを早期に発見することは、数百万ドルにのぼるインシデント対応コストや業務停止につながる二次ペイロードの展開を防ぐうえで非常に重要です。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/fake-orders-target-enterprises/
