ハッカーがTONブロックチェーンをNode.jsバックドア用の耐障害性C2ディレクトリに悪用

この攻撃では、悪意のあるWindowsショートカットファイル、PowerShell、正規のNode.jsランタイム、そしてTONブロックチェーンを組み合わせることで、柔軟なコマンド&コントロール(C2)システムを維持しています。

今回のキャンペーンは、攻撃者が信頼されたサービスや正規のソフトウェア、ブロックチェーンベースのインフラを組み合わせることで、検知や摘発の取り組みをますます複雑化させている実態を示しています。

ブロックチェーン上にホストされたC2の仕組みは、耐障害性の高い「デッドドロップ」型リゾルバーとして機能し得ます。運用者はマルウェア自体を再構築したり再配布したりすることなく、指示内容を変更できるためです。

感染は、予約関連のテーマを装ったスパムメールから始まります。被害者はGoogle Shareのリンクを受け取り、これがrecordstrace[.]infoなどの悪意あるウェブサイトにリダイレクトされ、直接ダウンロード可能なZIPアーカイブ、あるいはClickFix形式のプロンプト経由でZIPファイルが提供されます。

このZIPファイルには、Windowsのshell32.dllからアイコンを取得することで画像ファイルに偽装した、悪意のある.lnkショートカットが含まれています。開くと、このショートカットは難読化されたPowerShellコマンドを密かに実行します。

LNKファイルは、ダウンロード先のアドレスを読み取り可能なテキストとして保存するのではなく、2つの大きな整数として保存しています。

埋め込まれたスクリプトは一方の値からもう一方の値を減算し、ビット演算、あるいは同等の剰余・除算のロジックを用いて1バイトずつドメイン名を再構築します。分析対象となったあるサンプルでは、この処理によってrecordstrace[.]infoというドメインが明らかになりました。

このPowerShellペイロードは、デバイス上にすでにnode.exeが存在するかどうかを確認します。Node.jsが存在しない場合は、公式のNode.js配布インフラから正規のWindows版Node.jsパッケージをダウンロードします。

そして、ユーザーのLocalAppDataフォルダにそれを展開します。こうして信頼されたランタイムを利用することで、攻撃者は正常なアプリケーション活動に紛れ込みやすくなります。

次に、このスクリプトはAES-128-CBCとBase64で保護されたJavaScriptペイロードを復号します。そして、新たにインストールされた、あるいは既存のNode.js実行ファイルを使ってバックドアを起動し、復号済みのC2データを引数として渡します。

このJavaScriptインプラントは高度に難読化されており、標準的なJavaScriptではなく、独自の仮想マシン型インタープリタを用いてエンコードされたバイトコードを実行します。この設計により、静的なマルウェア解析やシグネチャベースの検知に要する労力が増大します。

研究者らは、過去に使用されたC2ドメインとして、tonajukbhuakpo2[.]shop、zloapobikahy23[.]bond、hsaertyuoang34[.]sbs、amanohuguta[.]cfdなどを特定しました。

この手法により、運用者は被害者システムにすでに展開されているマルウェアを変更することなく、ブロックチェーン上にホストされたデータを更新するだけで、遮断されたインフラを差し替えることができます。

攻撃者は特に、従来型のドメインブロッキングや摘発活動に対する耐障害性という点で、オンチェーン型のC2設計を重視しています。このマルウェアはWindows実行ファイル、PowerShellスクリプト、JavaScriptをダウンロードできます。

実行ファイルを起動する前に、WindowsのPEヘッダーを検証し、%TEMP%配下にランダムな名前でファイルを保存したうえで、実行前にそのファイルパスに対してMicrosoft Defenderの除外設定を追加しようと試みる場合があると、LevelBlueは述べています

防御側は、Google Shareのリンクを含む予約関連テーマのメール、不審なZIPアーカイブ、画像に偽装したLNKファイルに注意を払う必要があります。

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無効化表記([.]など)しています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいはお使いのSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/ton-hosts-backdoor-c2/

ソース: cyberpress.org