情報窃取型マルウェア「TimbreStealer」に関連する新たなキャンペーンが確認されました。メキシコ企業を特に標的とし、多層的な回避策と高度なランタイムトリックを駆使することで、検知や解析を困難にしています。
研究者のEuler Neto氏とCristóbal Tárraga氏は、2024年のCisco Talosによるレポートと共通する挙動を詳しく解説する一方で、注目すべき新たな変種についても指摘しています。それは、msedgeupdate.dllやgoopdate.dllといった正規のアップデーターライブラリになりすました、異例なほど巨大な悪性DLL(45~50MB)を用いたDLLサイドローディング手法です。
このキャンペーンの初期侵入経路は標的型フィッシングで、DigitalOceanのIP(例: hxxps://68[.]183[.]155[.]111)でホストされているZIPアーカイブを配布します。
ファイル名にはメキシコの財務関連書類を示す「CONTENIDO」「COMPROBANTES」「CFDI」といった語が使われており、同国で義務付けられている電子請求書(CFDI)制度を悪用してクリック率を高めています。
ZIPファイル内には、一見正規のアップデーター実行ファイルに見えるものと、サイズが異常に大きい悪性DLLが同梱されています。正規のアップデーターDLLは通常500KB未満であるため、この異常なDLLサイズが重要な検知の手がかりとなります。

悪性DLLを静的解析したところ、強力な解析妨害策が随所に施されていることが判明しました。バイナリには27個のセクションが含まれており、その多くはゼロ埋めされた上で、動的に生成されるコンテンツを保持するためのメモリ領域として割り当てられています。
セクション1では、PEBとエクスポートテーブルの手動パース処理が実装されており、標準のインポートテーブルを回避したカスタムAPIリゾルバーを実現しています。
セクション4には2つのRC4復号ルーチンが格納されており、「Zw」や「ntdll.dll」といった文字列を生成します。これは、システムコールを内部で直接解決することで依存関係を隠蔽しようとする、ダイレクトシステムコールの利用を示しています。
TimbreStealerマルウェアの攻撃
WatchGuardがGBhackersに提供したレポートで述べたところによると、メキシコを拠点とする企業を標的とすることで知られるTimbreStealerに関連したキャンペーンとのことです。エクスポートはランダム化されており、中核となる処理はDllMain(DLLEntry)内で実行されます。ここでは長大なバイト操作シーケンスが実行され、後の復号・実行フローで使用される内部バイト配列を埋めていきます。

復号処理は段階的に進みます。まず256バイトの鍵がアルゴリズムによって生成され、セクション3にある0x3A7C00バイトのブロックとともに復号ルーチンに渡されます。これにより、PE形式に似たペイロードが復元されますが、自動的なPE認識を妨げるため、PEシグネチャバイトがゼロ化されるなど、ヘッダーバイトが意図的に破損させられています。
復号されたペイロードは、4つのセクションを持つ32ビットPEとしてマッピングされ、ローダーのロジックと複数の内部呼び出しを含んでいます。実行は早い段階でExitProcessを介して終了し、それ以降のコードパスは隠蔽されます。
ランタイムチェックでは、強固なジオフェンシングと解析妨害策が実施されています。マルウェアはUI言語を確認し(ロシア語ロケールの場合は拒否)、タイムゾーンのバイアスがメキシコに一致するUTC-5からUTC-8の範囲内であることを検証し、さらに実行を特定のエポック期間内に限定します。
加えて、デスクトップウィンドウの所有権を検査するランタイムゲートや、呼び出し順序に厳密に依存する値を持つ可変のグローバルキーも使用されており、エミュレーションや決定論的な解析を一層困難にしています。

活動を開始すると、TimbreStealerはブラウザやユーザーデータストアを中心に、広範なデータ収集を行います。標的となるのは、Google ChromeおよびMicrosoft Edgeのユーザーデータフォルダ、Firefoxのプロファイル、ThunderbirdやPostboxのメールストア、そしてOneDriveやDropboxといったクラウド同期フォルダです。
このマルウェアは、ブラウザのSQLiteデータベース(History、Urls、Visits)にSQLクエリを発行し、さらにVACUUMを介してデータベースを再構築することさえあります。これは、データ抽出および窃取準備を示唆しています。
観測された権限昇格の試みには、ShellExecuteExWを介したrunasの呼び出し、UIのフォーカスを操作するための特定のウィンドウクラスの探索、CoCreateInstanceを介したCOMオブジェクトのインスタンス化などが含まれます。
正規のクラウドホスティングサービス(DigitalOcean)のインフラを再利用している点、そしてサイドローディングに信頼されたアップデーター名を使用している点は、このキャンペーンの運用面での成熟度を裏付けています。
この活動はCisco Talosが2024年に発表した調査結果と大きく重なる一方で、大容量DLLを用いたサイドローディングという新たな痕跡や、より手の込んだ多段階の復号処理が加わっています。
防御担当者は、異常に大きいアップデーターDLL、財務関連のファイル名を持つクラウドIPからのZIPダウンロード、ブラウザのSQLiteファイルへの異常なアクセスやVACUUM呼び出し、そしてダイレクトシステムコール解決や改変されたPEヘッダーの痕跡といった点を優先的に監視すべきです。
翻訳元: https://gbhackers.com/timbrestealer-malware-attack/