Forcepoint X-Labsが公開した最新の脅威インテリジェンスレポートによると、正規サービスを悪用して検知を回避する高度なAsyncRATマルウェアキャンペーンが確認されています。
脅威アクターはDropboxのURLとTryCloudflareのQuick Tunnelsを利用し、悪意あるPythonパッケージを何も知らない被害者に配布しています。
今回のキャンペーンは、攻撃者が信頼されたインフラを武器化してリモートアクセス型トロイの木馬(RAT)や情報窃取型マルウェアを拡散するという、拡大しつつある傾向を浮き彫りにしています。
攻撃の起点となるのは、ドイツ語の請求書ダウンロードを装った一見無害なDropboxリンクを含むフィッシングメールです。
ユーザーが「Rechnung herunterladen」ボタンをクリックすると、意図せず複雑な多段階の感染チェーンが発動し、最終的にAsyncRAT、VenomRAT、あるいはXWormのいずれかのマルウェアがシステムに展開されます。
感染は、被害者が提供されたDropboxのURLからZIPファイルをダウンロードすることで始まります。このアーカイブの中には、TryCloudflareのサブドメインを指すインターネットショートカットファイルが含まれています。
このショートカットを開くと悪意ある.LNKファイルが取得され、続いてPowerShellを使って同じ一時トンネル上の別ディレクトリから難読化の施されたJavaScriptファイルを取得します。
このJavaScriptファイルは二次的なバッチ(.BAT)ファイルをダウンロードし、PowerShellの「Invoke-WebRequest」コマンドを使って中核となるペイロードの配信を統制します。
被害者の目をそらすため、デフォルトのブラウザでおとりのPDF請求書を開きます。あわせて、これから送り込むペイロード用に特定のURLと保存先パスを設定します。
組み込みのPython実行環境を含む大容量のZIPファイルをダウンロードし、その中身を指定の隠しディレクトリに展開します。そして、侵害されたシステム上で実行ファイルpython.exeにアクセスできるかどうかを確認します。
攻撃をショートカットファイルからJavaScript、そして最終的にバッチスクリプトへと複数のスクリプト形式にまたがって段階的に展開することで、攻撃者は従来のシグネチャベースの検知メカニズムを巧みにすり抜けています。
ポータブル版のPython環境を同梱することで、被害者の端末にPythonがネイティブにインストールされていなくても、悪意あるコードが確実に実行される仕組みになっています。
攻撃の最終段階の中心となるのは、load.pyという名の難読化されたPythonスクリプトと、シェルコードを含む複数の関連バイナリファイルです。
この悪意あるスクリプトは、Pythonが直接Windows APIとやり取りできるようにする外部関数インターフェース、ctypesライブラリを利用しています。
具体的には、システムメモリを確保するVirtualAlloc、データブロックをコピーするRtlMoveMemory、仮想アドレス空間内でコマンドを実行するCreateThreadといった特定の関数を呼び出していると、Forcepointは述べています。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため意図的に無害化表記(例: [.])を用いています。再変換(re-fang)は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。
翻訳元: https://cyberpress.org/dropbox-tunnels-deliver-asyncrat/