Explorerを悪用したCOMハイジャック攻撃、AES暗号化ステガノグラフィPNGからシェルコードをロード

標的ネットワークへの侵入に、高度な永続化技術と暗号化ステガノグラフィを組み合わせた極めて洗練されたサイバースパイ活動が発見されました。

360高度脅威研究所がCyber Security News(CSN)と共有したレポートによると、国家の支援を受けた著名なハッキング集団APT-C-20(APT28、通称Fancy Bearとしても広く知られる)が、この隠密な作戦を積極的に指揮しているとのことです。

2004年から活動しているこのエリートハッキング集団は、悪意あるマクロ、システムプロセスの隠密な操作、そして正規のクラウドサービスを組み合わせた複雑な感染チェーンを展開し、侵害したマシン上にファイルレスの存在基盤を確立しています。

攻撃の一連の流れは、被害者がreadme.docmという名前の巧妙に細工されたマクロ有効化ドキュメントを開くところから始まります。このドキュメントは、ユーザーをだましてアクティブコンテンツを有効化させるため、文字化けしたテキストを表示します。

有効化されると、ドキュメントは東欧の国防省に関連する偽の誘導コンテンツを表示します。

実行段階での即座の疑念を回避するため、この悪意あるドキュメントは、ファイル内にある基盤となる視覚オブジェクトの座標を操作するという視覚的な欺瞞手法を用いています。

これにより、初期のおとりコンテンツを効果的に隠しながら無害なコンテンツを表示し、その裏で背景のペイロードが静かに実行される仕組みです。

ペイロードを投下する前に、このマクロは外部インフラに接続し、初期のネットワーク偵察を実行します。その後、重要な悪意あるコンポーネントを抽出し、特定のシステムディレクトリに投下します。

主要なファイルには、dnxstore.dllという名前の悪意あるライブラリと、一見無害に見えるEdgeLogo.pngという名前の画像が含まれており、これらは隠しプログラムデータフォルダ内に配置され、うっかり見つかることを回避しています。

このマルウェアはまた、オペレーティングシステムのアーキテクチャやインストール済みソフトウェアのバージョンなど、基本的なシステム情報も収集します。このデータは単純な単一バイト暗号で暗号化された後、隠しテキストボックス内に隠蔽されます。

この作戦において永続的なアクセスを確立するための主な手法は、極めて効果的なコンポーネントオブジェクトモデルハイジャック技術に依存しています。

この悪意あるマクロは、Windowsレジストリを改変し、68DDBB56-9D1D-4FD9-89C5-C0DA2A625392という特定のクラス識別子を別の場所へリダイレクトします。このクラス識別子は通常、システムの予期しないシャットダウン診断コンポーネントに関連付けられているものです。

レジストリのパスを新たに投下されたdnxstore.dllペイロードを指すように改変することで、攻撃者はオペレーティングシステムがこの標準的なアプリケーションオブジェクトを要求するたびに、自らの悪意あるコードが実行されることを確実にしています。

警告を発することなくこの実行をトリガーするため、このマルウェアは厳重に監視されるコマンドの使用を徹底的に避けています。代わりに標準的なシステム関数を使用し、Windows Explorerプロセスを非表示ウィンドウの状態でバックグラウンドに静かに起動させると、360は述べています

注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にディフェンジング(無害化表記、例: [.])されています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/explorer-hijacking-loads-shellcode/

ソース: cyberpress.org