サイバーセキュリティの世界では最近、2025年4月に登場した新たなランサムウェアの脅威「Payouts King」の台頭が確認されています。
内部チャットログの流出と、それに続く著名なBlackBastaグループの解散を受け、元メンバーたちは新たな活動へと移行しました。
Payouts Kingは、従来の初期アクセス手法と高度な防御回避技術を組み合わせることで、急速に存在感を確立しています。
攻撃者はスパム爆撃にフィッシングおよびビッシング(音声フィッシング)を組み合わせてキャンペーンを開始します。ITスタッフになりすますことで被害者をMicrosoft Teamsの通話に参加させ、Quick Assistを起動させ、ネットワークへの足がかりを確立します。
ネットワーク内部に侵入したPayouts Kingは、高度な難読化技術を駆使してエンドポイント検出・対応(EDR)ソフトウェアからその活動を隠蔽します。
このマルウェアはハードコードされた文字列を使用せず、実行時にスタック上で文字列を構築・復号します。Windows API関数のインポートには、FNV1ハッシュとカスタムCRC32チェックサムアルゴリズムを組み合わせたハッシュ化を使用します。
FNV1ハッシュは難読化された各アイテムに対して固有のシード値を使用するため、事前計算済みのハッシュテーブルは無効化されます。
このランサムウェアはさらに、難読化されたコマンドライン引数を利用して動作を制御します。バックアップファイルの使用可否、権限昇格のスキップ、永続化の設定といった挙動がこれによって決定されます。
デフォルトでは、コマンドラインに特定のidentityパラメータが指定されない限り、ランサムウェアは実行されません。これは巧妙なアンチサンドボックス機構として機能しています。
永続化が許可された場合、このマルウェアはコマンドをWindowsコマンドプロセッサに直接パイプ渡しすることでスケジュールタスクを作成します。
Payouts Kingはパイプの出力を読み取ることでタスクの作成成功を確認した後、即座にタスクを実行して削除します。
この迅速な実行・削除のシーケンスにより、フォレンジック証跡が消去されるとともに、SYSTEMユーザーへの権限昇格が成功します。
Payouts Kingは4,096ビットRSAと256ビットAES(カウンターモード)という強力な組み合わせでペイロードを保護します。このマルウェアはパフォーマンスを最適化するため、ファイルサイズに基づいて選択的に暗号化を行います。
1010メガバイト未満のファイルは完全に暗号化され、それより大きなファイルは1313ブロックに分割されたうえで、各ブロックの半分のみが暗号化されます。
振る舞い監視のさらなる回避を目的として、このマルウェアはファイルのリネームに標準的なWindows API呼び出しを使用しません。代わりにハンドルベースのファイル情報変更を用いることで、従来のファイル移動関数を監視するセキュリティツールを回避していると、Zscalerが報告しています。
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。再変換はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。
翻訳元: https://cyberpress.org/payouts-king-evades-detection/