MLTBackdoorと名付けられた高度な新マルウェアファミリーが発見され、ランサムウェア関連の脅威アクターによる運用が疑われています。
Zscaler ThreatLabzは、この悪意あるフレームワークが主に侵害されたネットワーク内での足がかりを確立するために展開され、その後の横展開への道を開くものであることを確認しました。
初期感染ベクターは、ClickFixとして知られる欺瞞的なソーシャルエンジニアリング手法に依存しています。Zscaler ThreatLabzによると、攻撃者は自動車をテーマにしたウェブページを悪用し、疑いを持たない被害者に悪意あるスクリプトを手動でコピー&ペーストしてシステムのターミナルで実行させるとのことです。
スクリプトが実行されると、data.binという名の暗号化されたペイロードファイルとダイナミックリンクライブラリを含む圧縮アーカイブをダウンロードする多段階プロセスが始動します。
その後、ペイロードは復号化され、正規の署名済みMicrosoft Defender実行ファイルを利用してシステムにサイドロードされることで、エンドポイントの初期検出機構を回避します。
リバースエンジニアリングを困難にし、セキュリティスキャナーを回避するため、MLTBackdoorはコンパイル時に広範なコード難読化を採用しています。
Zscaler ThreatLabzの報告によると、マルウェアのコードの約95%がMixed Boolean-Arithmetic(MBA)によって生成された不要な計算で構成されています。
この数学的難読化は、単純な演算を同一の出力を生成しながらも、セキュリティアナリストが手動で解読することがきわめて困難な高度に複雑な式へと変換します。
さらに、開発者はコードの論理的な実行順序を乱すために、制御フローの平坦化(Control Flow Flattening)も実装しています。
展開に成功すると、MLTBackdoorはポート443を通じてカスタムの暗号化バイナリプロトコルを使用し、オペレーターと通信します。
Zscaler ThreatLabzによると、このマルウェアは通常のネットワークトラフィックに紛れ込むため、正規のMicrosoft Delivery Optimizationリクエストを装ってトラフィックを偽装します。
NIST P-256曲線を使用した楕円曲線ディフィー・ヘルマン(ECDH)鍵交換によって安全な共有秘密を生成します。その後のすべての通信は、高度なAES-256-GCMセッションキーで暗号化されます。
主要なコマンドサーバーがオフラインになった場合でも感染マシンを継続的に制御できるよう、このフレームワークはデータベースベースのドメイン生成アルゴリズム(DGA)を組み込んでいます。
Zscaler ThreatLabzは、このアルゴリズムによるバックアップが毎日新しいドメインを生成し、攻撃者に高い耐障害性を持つフォールバック機構を提供することを発見しました。
MLTBackdoorにはダウンロード、アップロード、一覧表示、削除、ディレクトリの名前変更といったファイル操作のための基本的な組み込みコマンドが含まれていますが、その真の脅威は高度に柔軟な拡張機能にあります。
Zscaler ThreatLabzは、このマルウェアが高度なBeacon Object File(BOF)ローダーを備えており、オペレーターがマルウェアのメモリ内に直接新たな機能を動的にインジェクトして実行できることを明らかにしました。
このローダーはコンパイル済みオブジェクトファイルをマッピングし、必要なメモリ再配置を適用したうえで、被害者のハードドライブに一切触れることなくコードを実行します。
Zscaler ThreatLabzが確認したところ、このメモリ専用の機能は標準的なCobalt Strikeポスト・エクスプロイテーションモジュールと完全に互換性があり、脅威アクターがカスタムの偵察ツールを展開するためのハードルを大幅に引き下げます。
これらの動的ペイロードを独自の間接システムコールラッパーを通じてルーティングすることで、MLTBackdoorは高度なポスト・エクスプロイテーション活動でさえシステムモニターから隠蔽されることを保証しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例: [.])が施されています。再有効化はMISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/clickfix-campaign-drops-mltbackdoor/
