研究者らは、Cobalt Strikeビーコンをシステムメモリ内に直接展開する、検知回避性の非常に高いマルウェアローダー「SharkLoader」を発見しました。
StrikeSharkとして知られる脅威クラスターが現在、この未文書化のツールを使い、世界各地の複数業界にわたるネットワークへの侵入を行っています。
攻撃者は、脆弱なインターネット公開アプリケーションを悪用し、偽のソフトウェアインストーラーを利用することで、容易に初期アクセスを確立できます。
このキャンペーンは、現代の脅威アクターが日和見的な脆弱性の悪用と、極めてステルス性の高いマルウェア配布手法をいかに組み合わせているかを浮き彫りにしています。
StrikeSharkは、企業ネットワークへの侵入に非常に柔軟な手法を用いています。単一の攻撃ベクトルに頼るのではなく、同グループは広く利用されているアプリケーションに存在する既知の脆弱性をスキャンし、悪用します。
標的にはMicrosoft Exchange、SharePoint、Fortinet、Cisco IOS XE、Apache Shiro、F5 BIG-IP、Hikvision、Zimbraの各展開環境が含まれます。
さらに攻撃者は、Google UpdateやCisco AnyConnectのインストーラーなど、信頼できるソフトウェアに見せかけたカスタムドロッパーを配布しています。
研究者らの評価によれば、同グループはカスタムのゼロデイ攻撃を開発するのではなく、主に公開されている概念実証(PoC)エクスプロイトを利用しており、これによって広範囲に攻撃網を張ることができています。
攻撃者は足がかりを確保すると、セキュリティチームからの発見を逃れるため、SharkLoaderはDLLサイドローディングに大きく依存します。
このマルウェアは多くの場合、標準的なシステム設定用実行ファイルなど正規のWindowsアプリケーションを欺き、安全なコードライブラリの代わりに悪意あるコードライブラリを読み込ませます。
他の亜種では、同様の結果を得るために異なる署名済みWindowsファイルを利用します。信頼されたコンポーネントの傘下で実行されることで、SharkLoaderは従来のシグネチャベースのアンチウイルスツールによる検知を完全に回避します。
このローダーは複数の暗号化された段階を経て動作し、それぞれの段階でコンピューターのメモリ内において完全に復号・実行されます。
最終的なCobalt Strikeペイロードを保護するため、SharkLoaderはリフレクティブローディング、独自の暗号化ルーチン、パック化されたペイロードを使用します。
研究者らはまた、Windowsの内部構造を操作して標準的なセキュリティロックを安全に回避する高度な手口である「Perfect DLL Hijacking」の使用も確認しています。
このマルウェアはさらに、親プロセスの偽装、Windowsイベントログの妨害、悪意あるコードの休止中におけるメモリ保護の動的変更によって検知を逃れます。
侵害した環境への長期的なアクセスを維持するため、攻撃者は複数の永続化メカニズムを構築します。
攻撃者は5分ごとに実行されるスケジュールタスクを設定し、Windowsレジストリキーを操作し、高い権限で動作するカスタムタスクを作成します。
アクセスを確保した後、攻撃者は直ちにネットワーク偵察、認証情報の窃取、Active Directoryの列挙を開始し、横展開の準備を進めます。
Polyswarmによれば、StrikeSharkキャンペーンはこれまでに多様な標的の侵害に成功しており、主に政府機関、外交関連団体、ソフトウェア開発企業が被害を受けています。
確認されている被害はアジア、欧州、中東、ラテンアメリカにまで及んでいます。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])されています。再有効化はMISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/sharkloader-in-memory-beacon-attack/