OnionDropと呼ばれる高度に設計されたローダーが、複数のインフォスティーラーを大規模に配布する高頻度キャンペーンで使用されています。
2026年2月28日から5月20日にかけて、YARAによるレトロハンティングによって645件を超えるOnionDropのDLLサンプルが発見されており、公開時点でも攻撃活動は継続中でした。
このキャンペーンの活動規模と回避技術から、OnionDropは一般的なコモディティローダーをはるかに上回る水準にあり、いくつかの点では国家レベルの脅威アクターが使用するツールと同等の高度さを持っています。
初期の感染手口はシンプルに見えますが、巧妙に設計されています。ZIPアーカイブにAdobeの正規署名付き実行ファイルを同梱し、悪意あるDLLをサイドロードさせる手法が使われています。
そのDLLチェーンは4段階のアンパックパイプラインを起動します。カスタムのバイトペアデコード、RtlDecompressBufferExによるXpress Huffman展開、ローテーションするキーマテリアルを使ったAES-256-CBC復号、そして最終的にDonutが生成したペイロードのシェルコード実行へと至ります。
このローダーはペイロードを特定しないアーキテクチャを採用しており、確認されている最終ペイロードにはLegionLoader(別名CurlyGate)、CGrabber Infostealer、Vidar Stealerが含まれています。LegionLoaderのサンプルはgainmsg[.]comへのコールバックが確認されています。
ネイティブAPIの解決には、一般的なフックを回避するためにLoadLibraryではなくLdrGetProcedureAddressが使用されており、テレメトリを大量の呼び出しで溢れさせ動的解析を複雑にする「APIハンマリング」も実施されています。
GBhackersに報告書を提供したHowler Cell脅威リサーチチームによると、OnionDropの回避設計は意図的かつ多層的なものです。文字列とAPI名は、スタック文字列の構築とカスタム復号ルーティンによって実行時に生成されます。
さらに、ディスプレイデバイス文字列を照会する追加の解析対策も実装されており、名前がホワイトリスト(INTEL、GTX、ARC、AMD、RTX、QUADRO、RADEON、GEFORCE)と一致する場合のみ処理を続行します。これにより、サンドボックスや仮想化環境の多くがフィルタリングされます。
DLLサイドローディングを使ったOnionDropローダー
このローダーは、2つの重要な段階で標準的な検知パターンを回避します。まず、DllMain内での長時間処理を避けてローダーロックのデッドロックを防ぐため、NtCreateThreadExを介して実行スレッドを生成します。
次に、最終段階の実行には特殊な技術が使われています。マップされたシェルコードをWindowsスレッドプールのコールバック(TpAllocWork / TpPostWork)として登録することで、CreateThreadなどのAPIを明示的に呼び出さずに実行を開始します。これにより、多くのエンドポイント製品が検知するテレメトリのフットプリントを大幅に削減しています。
技術的な観点から見ると、OnionDropの多段階パイプラインには高度な設計上の工夫が随所に見られます。256バイトのルックアップテーブルで入力ペアをマッピングするカスタムバイトペアデコード、続くXpress Huffman展開、そして32バイトのキーをステージをまたいでアセンブルまたはローテーションさせる多段階のAES-CBC復号が実装されています。
最終的なDonutシェルコードはインメモリPE(LZNT1)を展開し、CRC32ハッシュ名を使ってWin32 APIを解決したうえで、C2設定をRC4で復号し、WinHttp APIを通じて接続を確立します。
このモジュール型の設計により、同一のローダーインフラが時期によって異なるインフォスティーラーに対応できる仕組みになっています。Vidarの配布時には中間的なDirect-sys Loaderを経由するケースも確認されており、最大5段階にわたる配布チェーンが構築されていました。
活動に関する具体的な痕跡も明らかになっています。Howler Cellチームはサンプル発見に使用したYARAルールを公開し、キャンペーンのタイムラインとアーティファクトをドキュメント化しました。
帰属については、オペレーター(攻撃者)レベルでの特定にとどまっています。この脅威アクターはCGrabberおよびDirect-sys Loaderを使った過去のキャンペーンでも追跡されており、単一の高度なスパイウェアではなく、継続的な規律と技術的投資によって管理される進化し続けるコモディティローダーのエコシステムの存在を示しています。
防御側は、未知のDLLと組み合わされた署名済みAdobeの実行ファイルを含むDLLサイドローディングパターンの検知、異常なスレッドプールコールバック登録、そしてメモリ内での多段階の展開・復号アーティファクトの検出を優先すべきです。
ネットワークの侵害指標としては、LegionLoaderに関連するgainmsg[.]comへの接続が挙げられます。Howler Cellのレポートおよび過去のキャンペーン(CGrabberおよびDirect-sys Loaderに関する分析など)への関連リンクには、このアクティブかつ高度な回避キャンペーンを妨害するための追加IOCとハンティングガイダンスが掲載されています。
侵害の痕跡(IoC)
ネットワーク指標
| C2 | hxxps[://]gainmsg[.]com/nfront[.]php |
SHA256ハッシュ値
| ZIP (1) | 8559e535128805f1e31fa7a15b33d25ae498915c7b88ea5142cf38858d551a53 |
| ZIP (2) | f09be48aab38dc85b7ad46efb98897617af66014ded44a7cf1bddaab59d9dad2 |
悪意あるDLLモジュール
| DLL (1) | 18bb95789e8727be0d98d9a5fce027f0f514e74192c7736b3afa297d2ee4a8fb |
| DLL (2) | 070a97bf5bcba13c41266a79357e2a5b8d6f4e353db7427bd8ccabceee5c96e3 |
OnionDropローダー
| Loader (1) | 892f1bd9663c7e14855a0238e0fbb5b2396000b3396ceda79947374a3da78912 |
| Loader (2) | c9b96846c9a49ddbed9e143b098972e1d7880654f763bb504d2f7b5d2ab1dafb |
最終ペイロード
| CGrabber | fb31df58549031f0ea24b250b214cbab9eafa39adaa715c675f328f7370904c7 |
| LegionLoader | f6e5f7445b9ea717513a04d04acfa343025ca35302d025de33935e176a83f6ae |
| Vidar | 0a8914b4f794ebc8ea1ce08dd4b5da918cd9697443007622100b0ba0731d428c |
注意: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的に無害化(デファング)しています(例:[.])。MISP、VirusTotal、SIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再ファング(元の形式に戻す)してください。
翻訳元: https://gbhackers.com/oniondrop-loader-with-dll-sideloading/
