脅威インテリジェンスのコミュニティが最も注目するのは、国家主導の標的型スパイキャンペーンです。しかし、コモディティ化されたマルウェアは水面下で静かに活動しており、その高度化のスピードは急速に加速しています。
その典型例が、新たに発見されたOnionDropローダーです。このローダーは、専用の標的型ツールに匹敵する回避アーキテクチャを採用しています。
Howler Cell脅威調査チームは最近このローダーを特定し、2026年2月から5月にかけて645件を超えるユニークなダイナミックリンクライブラリのサンプルを追跡しました。
この持続的な配布キャンペーンは、インフォスティーラーを大規模に配布するために設計された、ペイロード非依存型のフレームワークの存在を浮き彫りにしています。
日和見的なマルウェアとは異なり、OnionDropは静的・動的分析のいずれをも無効化するために、高度に洗練された回避戦術を採用しています。
この脅威は現在も非常に活発に活動しており、標的を選ばず危険なペイロードを投下し続けています。
攻撃チェーンは、Adobeが正規署名した実行ファイルと、アーカイブサイズを人為的に膨らませるための巨大なおとりファイルを含む、シンプルな ZIPアーカイブから始まります。
被害者がセットアップファイルを実行すると、sqlite.dllという名前の悪意ある依存ファイルがサイドロードされ、そこからメインモジュールであるcodestore384d.dllが動的にロードされます。
その後、ローダーはセキュリティツールを完全に欺くために、4段階にわたる複雑なアンパッキングシーケンスを開始します。
意図を隠蔽するため、このマルウェアはスタック文字列構築と動的APIアドレス解決を多用します。
重要な関数を実行時に動的に復号し、それ以降のすべての解決処理を特定のネイティブコールを通じてルーティングすることで、従来の監視フックを回避します。
処理を進める前に、OnionDropはシステムのディスプレイデバイス名を確認し、サンドボックスや仮想環境を除外します。
環境の確認が完了すると、最初のアンパッキング層ではカスタムのバイトペアエンコーディング(BPE)ルーティンを使用して、ファイル内に隠されたエンコード済みデータを再構築します。
第2ステージでは、ネイティブのWindows圧縮ツールを使用し、Xpress Huffmanアルゴリズムによってこの再構築データを展開します。
展開後、マルウェアは第3ステージへと移行します。ここでは、段階的に組み立てられるローテーションキーマテリアルを用いた高度な復号処理でペイロードを解読します。
最終ステージでは、OnionDropがWindowsスレッドプールを悪用して、標準的なテレメトリを発火させることなく埋め込みのDonutシェルコードを実行します。
メモリを確保し、シェルコードをコピーしてワークアイテムとして登録します。その後、シェルコードが動的に実行され、最終的な悪意ある実行ファイルを直接メモリ上で展開します。
OnionDropは本質的に、単独の攻撃ツールではなく適応性の高い配布機構として設計されています。ペイロード非依存型であるため、脅威アクターはキャンペーンの目的に応じて最終的なマルウェアを容易に差し替えることができます。
今回の作戦で最も多く観測された最終ペイロードはLegionLoaderであり、gainmsg[.]comでホストされているコマンド&コントロールサーバーへの接続を確立するとのことです。cyderes が報告しています。
調査チームはかつて、Direct-sysローダーを使用した以前のキャンペーンを通じて、同一の脅威アクターを追跡していました。
より最近の攻撃では、OnionDropのチェーンが実行をDirect-sysローダーへ引き渡し、その後にVidar Stealerを展開するというパターンが確認されています。
これにより、実際のインフォスティーラーが感染ホスト上で動作する前に、5段階にわたる綿密な配布パイプラインが形成されています。
こうした進化は、OnionDropを背後で操る脅威アクターによる継続的な技術投資を示しています。彼らは複数のインフォスティーラーキャンペーンを同時進行させながら、高いテンポで攻撃オペレーションを展開し続けています。
翻訳元: https://cyberpress.org/oniondrop-loader-evades-detection/
