ファイルレス型のマルウェアフレームワークがGoogleのBlogspotプラットフォームを悪用し、インフォスティーラー「PureLog Stealer」を完全にメモリ上で配信していることが分かりました。これにより攻撃者は認証情報を窃取しながら、ディスク上にほとんど痕跡を残さずに済みます。
このフレームワークを「Veil#Drop」と名付けたSecuronix Threat Researchによると、今回のキャンペーンは侵害された複数のWebサイト、罠が仕掛けられたJavaScriptファイル、そしてPowerShellを連鎖させて標的に到達するとのことです。
PureLog Stealerはよく知られた.NET製インフォスティーラーですが、今回の攻撃を特異なものにしているのは、その多段階に及ぶ配信経路です。
検出を回避するために構築されたファイルレス攻撃チェーン
攻撃は、侵害されたWebサイト上でユーザーが文書ファイルに偽装したファイルを開くところから始まります。Windowsは既知の拡張子を既定で非表示にするため、そのファイルは一見PDFのように見えますが、実際にはWindows Script Hostによって実行されるスクリプトであり、セキュリティチェックを無効化した状態でPowerShellを起動します。
その後、PowerShellは攻撃者が管理するBlogspotのページから次の段階のペイロードを直接取得し、ディスクに一切ファイルを書き込むことなくメモリ上で実行します。
同社によると、ペイロードをGoogle所有のインフラ上でホストすることで、通信を正常なWeb通信に紛れ込ませ、レピュテーションベースの防御をすり抜けることができるとのことです。
PureLogsの配信手法についてさらに詳しく: PureLogs Variant Steals Data via Purchase Order Lures
後続の段階では、内容を独自のXORエンコーディングで隠蔽し、実行時にのみ復号します。研究者によると、最終的なローダーはエンコードされたデータから2つの.NETアセンブリを再構築し、リフレクションを用いてそれらを直接メモリにロードするため、アンチウイルスがスキャンできる実行ファイルが一切ディスクに配置されないとのことです。
この経路がブロックされた場合でもペイロードを確実に実行させるため、Veil#DropはRegSvcs、InstallUtil、MSBuildといったユーティリティを順に試しながら、Microsoft署名済みの信頼された正規バイナリ(いわゆるLOLBINs)を予備手段として利用します。
これらのバイナリは.NETフレームワークの正規の構成要素であるため、こうした挙動はアプリケーション制御やアローリスト(許可リスト)によるルールをすり抜けることが少なくありません。
PureLogが窃取する情報
実行されると、PureLog Stealerは単純な認証情報の窃取にとどまらず、ブラウザに保存されたパスワード、Cookie、自動入力データ、暗号資産ウォレット、さらにホスト自体の詳細情報までも端末内から収集します。
Securonixは、窃取されたセッションCookieを悪用すれば、攻撃者が被害者のログイン済みセッションを再利用することで多要素認証(MFA)を回避できる恐れがあると警告しています。
同社は「多くの場合、情報窃取型マルウェアの背後にいる攻撃者は、収集した認証情報をアンダーグラウンドの闇市場で販売しており、これにより他の脅威アクターが侵害されたアカウントや環境へのアクセス権を購入できるようになっている」と説明しています。
また、Securonixは防御側に対し、静的な指標のみに頼るのではなく、PowerShellがBlogspotに通信したり.NETユーティリティを起動したりするといった、Veil#Drop特有の挙動そのものを監視するよう呼びかけています。
翻訳元: https://www.infosecurity-magazine.com/news/veil-drop-blogspot-purelog-stealer/