セキュリティ分析および運用管理プラットフォームの Securonix は最近、JS#SMUGGLER と名付けられた厄介な新しいマルウェアキャンペーンの詳細を公開しました。この攻撃は、ハッカーに被害者のコンピューターを完全かつ秘密裏に制御させる強力なツールである NetSupport RAT を配布します。
アナリストの Akshay Gaikwad 氏、Shikha Sangwan 氏、Aaron Beardslee 氏を含む Securonix の脅威リサーチチームがこの分析を実施し、その結果は Hackread.com と共有されました。
3 段階の感染プロセス
この攻撃全体は、セキュリティシステムに気付かれないよう 3 つのステージで設計されています。プロセスは、ユーザーが改ざんされたウェブサイトにアクセスするだけで始まります。最初のステップでは難読化された JavaScript ローダーが使われます。難読化とは、ハッカーが意図的にコードをかき乱し、数千ものランダムな単語をコメントブロックに紛れ込ませて悪意ある命令を隠すことで、セキュリティチェックを欺く手法を指します。
このスクリプトは通常、boriver.com のようなサイトから読み込まれ、ユーザーがデスクトップかモバイルデバイスかを判別するようにプログラムされています。デスクトップであると検知すると、完全な感染プロセスに進みます。研究者らは、このスクリプトが 1 ユーザーにつき 1 回だけ実行されるようにする巧妙な仕組みも備えていると指摘しており、これにより stoneandjon.com のようなドメインから次のステージを取得する前に、オペレーションを静かに保つことができます。
2 番目のステップでは、秘密裏に実行される HTML アプリケーション(HTA)が関与します。この HTA は、mshta.exe という標準的な Windows プログラムを使って、ユーザーに一切見えない形で動作します。この HTA の内部には次のコードが含まれており、AES-256-ECB、Base64、GZIP 圧縮といった複数レイヤーの暗号化によって強固に保護されています。この複雑な仕組みにより、プログラムはコンピューターのメモリ上でのみ完全に復号された状態となり、メインの感染ファイルがハードドライブに書き込まれないため、アンチウイルスソフトに発見されにくくなります。
NetSupport RAT:最終的な乗っ取り
3 番目のステップでは、最終的なプログラムである NetSupport RAT がインストールされます。なお、NetSupport Manager 自体は本来、IT プロフェッショナル向けの正規ツールです。しかし周知のとおり、ハッカーが悪用すると、これはリモートアクセス型トロイの木馬(RAT)となります。
Securonix は、この一連のチェーンの目的が、完全かつ長期的なリモートアクセスであることを確認しました。一度実行されると、この RAT によってハッカーはフルリモートデスクトップ制御、ファイルの閲覧・窃取、コマンド実行、監視活動などを行えるようになります。このステージの PowerShell コードは、kindstki.com のようなドメインから圧縮ファイルを取得します。
マルウェアを永続化させるため、ハッカーはファイルを C:\ProgramData\CommunicationLayer\ のような一見普通のフォルダーに展開し、WindowsUpdate.lnk といった名前の偽のスタートアップショートカットを作成します。このショートカットにより、被害者がログインするたびに RAT が自動起動することが保証されており、これは非常に活発で高度にプロフェッショナルなマルウェアオペレーションであることを示しています。
この JS#SMUGGLER キャンペーンで用いられている多層的な戦術を踏まえると、すべてのインターネットユーザーにとって細心の注意が不可欠です。このような脅威から身を守るため、すべてのソフトウェアダウンロードを慎重に検証し、不審なスクリプト活動や不正なプロセス実行を検知できるよう、エンドポイント防御を強化してください。
翻訳元: https://hackread.com/jssmuggler-netsupport-rat-infected-sites/
