香港の金融機関を標的とした新たなマルウェアの波が確認されており、SquidLoaderが使われています。
このステルス性の高いローダーは、Cobalt Strike Beaconを展開し、高度な解析回避技術を備えています。
月曜日に公開された新たなアドバイザリで、Trellixのセキュリティ研究者は、このマルウェアがほぼすべての検知を回避していることが観測されており、標的となる被害者にとって特に危険であると述べています。
高度に回避的な多段階攻撃チェーン
SquidLoaderキャンペーンは、標的型スピアフィッシングメールから始まります。これらのメッセージは中国語(マンダリン)で書かれており、金融機関になりすまして、請求書を装ったパスワード付きRARアーカイブを添付しています。
開封すると、ユーザーはMicrosoft Word文書に偽装された悪意のあるPEバイナリを発見します。このファイルは見た目には巧妙に偽装されており、正規の「AMDRSServ.exe」を模倣してソーシャルエンジニアリングを助けます。
実行されると、SquidLoaderはシステムに自身を埋め込み、以下のような多段階の感染プロセスを開始します:
-
自己解凍して内部ペイロードを復号
-
難読化されたコードを使って重要なWindows APIを動的に解決
-
運用データを保存するためのカスタムのスタックベース構造を初期化
-
サンドボックス、デバッガ、アンチウイルスツールを回避するための様々な回避ルーチンを実行
-
リモートのコマンド&コントロール(C2)サーバーに接続し、Cobalt Strike Beaconをダウンロード
マルウェアの回避技術について詳しく読む:ランサムウェアグループはデータ流出のため回避策を優先
広範な解析回避・エバージョン機能
SquidLoaderの特徴の一つは、その広範な解析回避戦略です。環境チェック、文字列難読化、制御フローの混乱、未公開のWindowsシステムコールなどを利用して身を隠します。マルウェアは、「windbg.exe」「ida64.exe」「MsMpEng.exe」など既知の解析ツールやアンチウイルスプロセスが検出されると自ら終了します。
エミュレータや自動サンドボックスを回避するため、SquidLoaderは長いスリープ時間を持つスレッドを起動し、非同期プロシージャコールを使って異常な動作を監視します。いずれかのチェックに失敗したり、システムがデバッグの兆候を示した場合、マルウェアは終了します。
もう一つの手法として、中国語で「ファイルが破損しており開くことができません」と偽のエラーメッセージを表示し、ユーザーの操作を要求することで自動解析をさらに妨害します。
これらのチェックの後、SquidLoaderはKubernetesサービスのパスを模倣したURLを使ってC2サーバーに接続し、通常の企業トラフィックに紛れ込むと考えられます。その後、ユーザー名、IPアドレス、OSバージョン、管理者権限の有無などのホストデータを収集して送信します。
最終的に、別のIPアドレスからCobalt Strike Beaconをダウンロードし、攻撃者に永続的なリモートアクセスを提供します。
このキャンペーンは地理的に集中しており、香港の機関を標的としている強い兆候があります。しかし、類似のサンプルから、シンガポールやオーストラリアでも関連する攻撃が進行中である可能性が示唆されています。
SquidLoaderのような脅威に対抗するため、組織はメールフィルタリング、エンドポイント監視、行動分析機能の強化を検討すべきです。
翻訳元: https://www.infosecurity-magazine.com/news/squidloader-malware-targets-hong/