VEIL#DROPというPowerShellローダー、Blogspotを悪用しPureLog Stealerをメモリ内展開

VEIL#DROPと名付けられた高度な多段階マルウェア配布フレームワークが、企業環境にとって重大な脅威として浮上しています。信頼された クラウドインフラとOS標準コンポーネントを悪用し、PureLog Stealerを完全にメモリ内で展開する手口です。

この攻撃キャンペーンは、非常に巧妙なソーシャルエンジニアリング手法から始まります。transcript.pdf.jsのような、通常のPDF文書を装った悪意あるJavaScriptファイルが使われます。

Securonix Threat Researchが公開した詳細な技術分析によると、専門家のAkshay Gaikwad氏、Shikha Sangwan氏、Aaron Beardslee氏は、この軽量ランチャーがWindows Script Hostを通じて実行され、実行ポリシーの制限を完全に回避した状態でPowerShellを起動することを確認しています。

この初期段階で、攻撃者が制御するインフラとの暗号化通信が直ちに確立されます。

さらに、セキュリティ監視プラットフォームのIntCyberDigestが指摘しているように、PureLog Stealerの展開は、サイバー犯罪者が生の破壊力よりも作戦上のステルス性を優先する傾向の高まりを示しています。長期にわたる不正アクセスを実現するため、認証情報の窃取を選んでいるのです。

PowerShellインスタンスが起動すると、VEIL#DROPフレームワークはInvoke-RestMethodおよびInvoke-Expressionの各コマンドレットを利用した複雑なダウンロードクレードルを開始し、後続のペイロードをシステムメモリに直接取得します。

この攻撃を特徴づけるのが、これらの中間段階をホスト・配布するためにGoogle傘下のBlogspotを広範囲に悪用している点です。

有効なSSL証明書を備えた信頼性の高いドメイン上に悪意あるコードをステージングすることで、攻撃者はネットワークトラフィックを効果的に偽装し、正規のWeb通信に紛れ込ませて、レピュテーションベースのフィルタリング機構を回避しています。

ダウンロードされる第2段階のペイロードは、phud.dudus.docx.pdf.olp.sysのような複数拡張子を持つ偽装ファイル名を伴うことが多く、セキュリティプロセスやスクリプト実行プロセスを選択的に終了させることで環境を整えつつ、無害なおとりのWebページを同時にダウンロードして、被害者を油断させます。

さらにフォレンジック分析を困難にし、静的シグネチャによる検出を回避するため、埋め込まれたPowerShellおよび.NETペイロードは、カスタムのXORエンコーディングアルゴリズムによって厳重に保護されています。

ローダースクリプトは、実行時にこの埋め込みコンテンツを動的に復号します。バイト配列を繰り返しキーパターンで走査しながら、実行可能コードを再構築する仕組みです。

加えて、復号されたスクリプトは実行時の変異によってポリモーフィックな挙動を持たせています。プレースホルダーの値をランダムに生成した文字列に置き換え、実行のたびに一意のBlogspot URLを構築します。

この動的なステージ生成によって、静的なURLやファイルハッシュといった従来の侵害指標(IoC)は感染ごとに絶えず変化し、標準的な脅威インテリジェンスフィードの有効性を大きく低下させています。

Securonixの調査によると、VEIL#DROPの感染シーケンスの集大成として、強力な.NETベースの情報収集ツールであるPureLog Stealerが、メモリ内でのみ実行されます。

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(defang、例: [.])されています。再有効化(re-fang)は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/veildrop-purelog-memory-attack/

ソース: cyberpress.org