「MLTBackdoor」と追跡されている高度な新型バックドアファミリーが確認されました。攻撃者はランサムウェアの足がかりを築くため、多段階のClickFix感染チェーンを通じてこのマルウェアを展開しています。
このキャンペーンは自動車業界をテーマにしたClickFix誘導から始まります。被害者がコマンドをコピー・貼り付けて実行すると、DGA(ドメイン生成アルゴリズム)が生成したドメインから圧縮アーカイブが取得され、endpointdlp.dllとRC4暗号化ペイロード(data.bin)の2つのファイルが投下されます。
このDLLがdata.binを復号し、MLTBackdoorのペイロードが展開されます。マルウェアは自己更新を行い、endpointdlp.dllという名前を再利用して、正規の署名済みMicrosoft Defenderの実行ファイルを経由したDLLサイドローディングにより、ステルス実行を実現します。
MLTBackdoorは高い堅牢性とモジュール性を備えた設計になっています。コア機能としてダウンロード、アップロード、ls、削除、名前変更、mkdirといったファイルシステムコマンドをサポートしていますが、最大の特徴はBeacon Object File(BOF)ローダーの搭載です。
このBOFローダーはMS-COFFオブジェクトをメモリにマップし、BeaconDataParse、BeaconPrintfなどBeaconスタイルのインポートをコンパクトなセットとして解決し、リロケーションを適用してエントリーポイントを実行、結果を返すことができます。
BOFとの互換性により、攻撃者は追加のバイナリを投下することなく、幅広いポストエクスプロイテーションモジュールを柔軟に展開できます。
MLTBackdoorの作者は解析対策と難読化に多大なリソースを投じています。LLVMベースの難読化ツールは混合ブール算術(MBA)と制御フロー平坦化(CFF)を適用し、単純な演算や状態遷移を密度の高い複雑なコードパスに肥大化させます。ThreatLabzの推定によれば、コンパイル済みロジックの約95%が難読化ノイズです。
MLTBackdoorマルウェアの詳細
Zscaler ThreatLabzがGBhackersと共有したレポートによると、MLTBackdoorと追跡されているこの新型マルウェアファミリーは、ランサムウェアに関連した脅威アクターによって利用されている可能性が高いとされています。
静的な文字列検索ツールによる解析を防ぐため、文字列は平坦化されたステートマシン上でスタックに動的に構築されます。API解決にはDJB2ハッシュを使用してランタイムで実行されており、一部のインポートには「Beacon」をプレフィックスとして付加する特殊な規則が採用されています。
監視の回避には、MLTBackdoorがHell’s Gate方式の間接システムコールを実行します。ntdllのエクスポートからランタイムのシスコールテーブルを構築し、フックされたWin32ラッパーを呼び出す代わりにシスコールガジェットに直接ジャンプします。
複数のアンチ解析チェックがビットマスクに集約され、最初のチェックイン時に送出されます。多くのマルウェアファミリーとは異なり、文字列値は暗号化やエンコードを施されていません。代わりに、スタック上でバイト単位でランタイムに文字列が構築されます。
これらのチェックには、ハイパーバイザーベンダーの確認、タイミングループ、デバッガー検出、解析ツールのプロセス・ウィンドウタイトルのスキャン、ドライバー名の確認、RAMやCPU・起動時間の少なさに基づくヒューリスティックなどが含まれます。検出されてもインプラントの動作は停止しませんが、実行環境の情報が攻撃者に通知されます。
ネットワーク通信には、ポート443上のTLSを介したカスタムの暗号化バイナリプロトコルが使用されています。固定パス/api/v1/telemetryとMicrosoft風のUser-Agentを使い、正規トラフィックに紛れ込む設計になっています。
MLTBackdoorはECDHを使用して共有シークレットを生成し、それをAESセッションキーとして利用します。
セッションでは一時的な楕円曲線ディフィー・ヘルマン(P-256)鍵交換をネゴシエートし、AES-256-GCMセッションキーを導出した上で、マジックバイト「MLT」(0x014D4C54)を含む小さなヘッダー付きのフレームパケットを交換します。
このインプラントはチェックイン、BOFタスク、ファイル転送、コマンド結果、制御コマンドなど複数のメッセージタイプをサポートしています。またハードコードされたドメインが利用できない場合のバックアップC2接続を確保するため、日付ベースの決定論的なDGAも実装しています。
ThreatLabzはMLTBackdoorのDGAスクリプトと関連インジケーターをGitHubで公開しています。
運用面では、ClickFix ソーシャルエンジニアリング、DLLサイドローディング、高度な難読化、Hell’s Gateによるシスコール回避、そしてBOFの拡張性を組み合わせたこの手法により、MLTBackdoorはランサムウェア関連の攻撃者にとって魅力的な堅牢なポストエクスプロイテーションフレームワークとなっています。
防御側はThreatLabzが報告した特定のDGAドメインとダウンロードパターンを監視し、mpextms.exeやendpointdlp.dllの不審な使用を確認するとともに、/api/v1/telemetryへの異常なアウトバウンドTLSセッションにも注意を払うことが推奨されます。
侵害の痕跡(IOC)
| SHA256 | 説明 |
|---|---|
| 1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984 | ステージ1ローダー |
| 46b2155c1e71b840d4b7a2e94410b89a61e2446523e6f497206d402eb02e0e93 | ステージ1ローダーと暗号化MLTBackdoorを含むアーカイブ |
| 9e52cc90cff150abe21f0a6440e86e0a99ff383b81061b96def8948e21d0ac66 | ドメインおよびDGA付きMLTBackdoor |
| ced6b0f44410f6133ad63b61e04613a8b56cc3338d7b34497540e9541163e7ec | MLTBackdoor(DGAのみ) |
| 1d09357b6a096fdc35cd5c873eed15665d6b3c879d20c8cf01e6bca0005512cf | MLTBackdoor(DGAのみ) |
| 2cd88d5280a61714836f5f07a16df190911c5b952af2998dbbcda910b3b1c494 | MLTBackdoor(ドメインのみ) |
| d34e4038c5c80728f9648ba84833f69bc1ccea82e2e8e748b7b7f02fb687b92b | MLTBackdoor更新用サイドロードアーカイブ |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、リファング処理を行ってください。
翻訳元: https://gbhackers.com/mltbackdoor-malware/
