悪性EndpointDlp.dllでMicrosoftエンドポイントコンポーネントに偽装する「Mistic」マルウェア

2026年4月から不正侵入での使用が確認されている、新たに発見されたWindowsバックドア「Mistic」は、長期的かつ隠密なアクセスを目的として設計されているとみられます。

このマルウェアは、DLLサイドローディング、メモリ内実行、自己削除といった手法を駆使して企業環境に溶け込み、フォレンジック痕跡を最小限に抑えます。

MisticはMpExtMs.exeという正規の実行ファイルを悪用したDLLサイドローディングチェーンを通じて侵入します。悪意のあるローダーは、ライブラリの読み込みやパス解決を担うWindows API関数をフックし、EndpointDlp.dllというトロイの木馬化したライブラリをプロセスに強制的に読み込ませます。

このDLL名はMicrosoftのエンドポイントコンポーネントを模しており、簡易的な調査では無害に見える可能性が高く、信頼されたホストプロセス内で動作できるよう巧みに設計されています。

一度読み込まれると、Misticはファイルのアップロード・ダウンロード、ファイルおよびディレクトリ管理、コマンドポーリング間隔の変更、リモートコード実行といった典型的なバックドア機能を提供します。中でも際立っているのは、攻撃者が提供したペイロードをディスクに書き込まず、直接メモリ上で実行できる機能です。

ComputerSecurity

メモリ内実行とDLLサイドローディングを組み合わせることで、シグネチャベースのスキャナーやディスク中心のフォレンジック手法に対するMisticの検出可能性が低下します。

このバックドアにはビルトインのキルスイッチも搭載されており、オペレーターはコンポーネントを終了・削除することが可能です。これにより、作戦終了後やアクセス権が売却・使い尽くされた後に証拠をさらに消去できます。

Symantecをはじめとするベンダーのリサーチャーは、少なくとも1件の侵害においてMisticとModeloRATが同時展開されていたことを記録しており、初期アクセスブローカーであるWoodgnat(別名KongTuke)との関連が示唆されています。Woodgnatはランサムウェアのアフィリエイトに足がかりを販売してきた経歴を持つグループです。

確認された侵害において、防御側は偽のログイン画面を表示して認証情報を窃取する.NET製コンポーネントとともにMisticが展開されていることを発見しました。また、攻撃者はPowerShell、WMIC、curl、certutil、net.exe、reg.exeといった正規の管理ツールをカスタムインプラントと組み合わせて使用していました。

このツールセットは、即時の破壊的活動よりも、隠密な認証情報の収集と持続的なアクセス維持を重視していることを示しています。

MisticマルウェアによるMicrosoftエンドポイントへの偽装

作戦上の文脈から、Woodgnatとの関連性に対する懸念がさらに高まっています。公開されている報告によると、Woodgnatは侵害されたWordPressインフラを悪用するキャンペーンと関連付けられており、ClickFix、FileFix、CrashFixといったソーシャルエンジニアリングのチェーンを通じて、被害者に攻撃者が用意したPowerShellコマンドを実行させています。

これらのチェーンはこれまでにもModeloRATや他のツールを配布し、アクセス権の確立・販売に活用されてきました。SymantecおよびCarbon BlackはMisticの活動を報告し、保険、教育、IT、専門サービス業界の組織への展開が確認されたことを指摘しており、これはWoodgnatの日和見的なアクセスブローカーモデルと一致しています。

少なくとも1件の事案においてModeloRATとMisticが同時に展開されていたことが確認されており、既知のWoodgnat作戦との状況的ではあるものの意味のある重複が見られます。

防御側にとって、Misticはシグネチャのみへの依存を脱却し、振る舞いおよびメモリに焦点を当てた検出の必要性を改めて浮き彫りにしています。

検出戦略としては、信頼されたプロセスへの異常なDLLロードの監視、ライブラリ解決を変更するAPIフッキング動作の検出、予期しないメモリ内コードインジェクションの監視、そしてWebエクスプロイトやソーシャルエンジニアリング活動直後における組み込み管理ツールの不審な使用の監視などが挙げられます。

EndpointDlp.dllの異常なロード、ネットワークのコマンド&コントロールパターン、エクスプロイト後の認証情報窃取UIアーティファクトを相関付けるスレットハンティングクエリは、隠れた侵害の発見に役立ちます。

帰属については依然として仮説の域を出ませんが、配信方法、ツール、標的セクターの収束は、監視の強化とテレメトリの迅速な共有を正当化するものです。

アナリストは、不審なホストの隔離、分析のための揮発性メモリの収集、改変されたMpExtMs.exe実行チェーンやModeloRATあるいは認証情報窃取ツールの活動痕跡といった関連アーティファクトの探索を推奨しています。

IOC(侵害指標)

1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984
3f797a639bc855bc6d5471f327924b62d10900ddec49b970eca6604142bbb4be
afd5f1ed45a9867daf3bc64152cef460a06b164c8183e490db39146d4749a82c
db972979d508e75fe730d3b72c2701470fbdaeaf8ebdd674744754fa44438ca5
fb3630822b70bacb56aa4cec29b5a0e3e9acb3920809e70310a4003385a6d34a
59e3c4cb06331b4f2d78a9a0592f3747e573bd01c5a7650c26361d1e25520712
8c935feec4bd05d5d918df308be417532fb42608fb989a08eab183e0ae699235

注: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみリファング(元の形式に戻す)してください。

翻訳元: https://gbhackers.com/mistic-malware-blends-into-microsoft-endpoint/

ソース: gbhackers.com