「Khmer Shadow」と名付けられた新たな脅威クラスターが、カンボジア政府機関を標的としたスパイ活動を展開していることが判明しました。
Acronisの脅威調査チーム(TRU)がこれらの攻撃を最近発見しており、国防・軍事情報・公共事業の各分野が集中的に狙われています。
攻撃者は高価値ターゲットへの侵入に際し、巧妙な回避手法を採用しています。デジタル署名済みの正規VMwareバイナリを悪用し、「NIGHTFORGEローダー」と呼ばれるカスタムマルウェアを密かにロードするというものです。
初期侵入には古典的ながらも高い効果を持つ手法が使われています。まず、無害なPDF文書を装った自己解凍形式アーカイブを添付したスピアフィッシングメールを送り付けることから攻撃が始まります。
カンボジアの情報収集局を狙った攻撃では、囮として使われた文書はカンボジアと中国の間の二国間調整や視察訪問を議題とする通常の書簡に見せかけられていました。
架空の国防関係者への具体的な言及が盛り込まれた巧妙な囮文書は、ターゲットが疑いを持たずに開封するよう周到に作り込まれていました。
被害者が偽の文書を開くと、アーカイブは正規のVMware実行ファイル「VMwareNamespaceCmd.exe」と悪意のあるファイル「vmtools.dll」を密かに展開します。WindowsはVMwareアプリケーションを完全に信頼しているため、悪意のあるDLLが自動的にメモリへロードされます。これが「DLLサイドローディング」と呼ばれる手法です。
ロードが完了すると、攻撃者が制御するこのDLLがNIGHTFORGEローダーとして機能し、信頼性の高いVMwareプロセスのコンテキスト下で実行されます。
NIGHTFORGEは検出回避と静かな足がかりの確立を目的として設計されたカスタムC++ツールです。コアルーチンを実行する前に、サンドボックス環境下で動作していないかどうかを確認します。また、フォアグラウンドウィンドウをすべて非表示にすることで、被害者の気づきを防ぎます。
現代のエンドポイント検出・応答(EDR)システムを回避するため、NIGHTFORGEは高度な防御回避手法を複数採用しています。
まず、NTDLLのアンフックを行い、メモリ上のコピーをディスク上のクリーンなバージョンに置き換えます。これにより、セキュリティソフトウェアが悪意ある動作を監視するために使用するインラインフックが実質的に無効化されます。
さらに、「Hell’s Gate」テクニックを用いてシステムコールを動的に解決します。
これにより、ローダーはオペレーティングシステムのコアと直接やり取りし、ユーザーモードのセキュリティ監視ツールに検知されることなく、メモリへの書き込みやスレッドの生成を行うことができます。
活性化すると、Havoc Demonインプラントは暗号化された通信を通じて攻撃者が管理するサーバーへ接続します。ネットワーク上での不審な通信を避けるため、マルウェアは通信を標準的なGoogle ChromeによるWebブラウジングトラフィックに偽装します。
リアルなHTTPヘッダーを使用し、ニュースサイトを閲覧するユーザーに見せかけるため、偽のディレクトリパスを使ったリクエストをローテーションさせます。
高度な回避技術を持ちながらも、Khmer Shadowグループは基本的な運用セキュリティ(OpSec)の面で課題を抱えています。
Acronisの研究者らは、攻撃者が複数のターゲットに対してほぼ変更なく同一のペイロードとサーバー構成を使い回していたことを指摘しています。
この手抜きが仇となり、脅威ハンターはサーバーのフィンガープリントを起点として調査を展開し、隠蔽されていた追加インフラを発見することに成功しました。結果として、この脅威アクターのネットワーク全体が明らかになっています。
注記: 誤った名前解決やハイパーリンク生成を防ぐため、IPアドレスとドメインは意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/vmware-binary-sideloads-nightforge/
