感染が成功すると、攻撃者はアカウントを乗っ取り、クラウドサービスにアクセスし、組織内でさらなる攻撃活動を展開できるようになります。
マルウェア・アズ・ア・サービスとして販売されていると報じられ、リブランドされたAmateraステーラーとの関連が指摘されているACRステーラーは、2つの著名な攻撃チェーンで確認されました。
いずれもユーザーをだまして悪意あるコマンドを手動で実行させる手口ですが、初期アクセス後の配布・回避手法はそれぞれ異なります。
2つ目のキャンペーンはClickFix型の誘導から始まり、多くの場合、悪意ある広告や検索エンジン汚染(SEOポイズニング)を通じて配布されます。被害者には偽の認証メッセージが表示され、Windowsの「ファイル名を指定して実行」やターミナルにコマンドをコピー&ペーストするよう指示されます。
このコマンドは、HTMLアプリケーションファイルを実行できる正規のWindowsユーティリティであるmshta.exeを起動します。
MSHTAは攻撃者が管理するインフラからリモートのHTAコンテンツを取得し、埋め込まれたVBScriptがWindowsのCOMオブジェクトを使ってPowerShellをデコード・起動します。
このPowerShellコードは、ランダム化された変数名、偽の制御フローパス、実用的な意味を持たない演算処理、独自の暗号化などにより、大幅に難読化されています。
これらの対策により、セキュリティ製品やアナリストがスクリプトの内容を解析することが難しくなっています。
このマルウェアは、明らかに不審な第2段階のスクリプトや実行ファイルをダウンロードする代わりに、公開の画像ホスティングプラットフォームからJPEG画像を取得します。
この画像自体は無害に見えますが、そのピクセルデータには暗号化された悪意あるペイロードが埋め込まれています。PowerShellの処理段階でこの隠されたデータを抽出し、復号・展開したうえで、メモリ上で直接実行します。
こうしたステガノグラフィとメモリ内実行のみの手法を組み合わせることで、ディスク上に残る痕跡を最小限に抑えています。
最終的なペイロードは、LoadLibrary、GetProcAddress、VirtualAlloc、CreateThreadといったWindows APIを動的に解決し、シェルコードをリフレクティブに読み込んで実行します。その結果、従来型のファイルベースのスキャンでは攻撃を検知できる機会が少なくなる可能性があります。
活動を開始したACRステーラーは、ChromeやEdgeのLogin DataファイルおよびWeb Dataファイルを含むChromiumブラウザのデータベースを標的にします。
窃取されたセッショントークンは特に危険で、多要素認証が有効になっている場合でもアカウントへのアクセスを許してしまう恐れがあります。
このマルウェアはさらに、デスクトップやダウンロードフォルダ内を検索し、価値の高いPDFファイルを探し出します。Microsoftによれば、この活動は、機密性の高いユーザー文書を窃取前に狙って収集・準備していることを示唆しているといいます。
注記: IPアドレスとドメインは、誤って解決されたりハイパーリンク化されたりするのを防ぐため、意図的に無効化表記(例: [.])にしています。再有効化は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
より強固な予防的防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/acr-stealer-hides-in-jpegs/