2025年5月、米国拠点の会計事務所がサイバー攻撃を受け、高度なクライプター「Ghost Crypt」を用いてPureRATリモートアクセス型トロイの木馬が配布されていることが確認されました。
eSentireの脅威対応ユニット(TRU)の研究者によると、このキャンペーンではソーシャルエンジニアリング、高度な難読化技術、複数段階のマルウェア配布プロセスが用いられていました。
Ghost CryptとソーシャルエンジニアリングによるPureRATの配布
攻撃者は新規顧客を装い、Zoho WorkDriveフォルダーへのリンクを含む悪意あるPDFを送信しました。そのフォルダーには税務書類を装ったZIPアーカイブが含まれていました。中には、偽装された二重拡張子(.pdf.exe)のファイルと名前を変更したDLLが入っていました。実行されると、同梱されたクライプターがPureRATを復号し、正規のWindowsバイナリcsc.exeにインジェクトしました。
Ghost Cryptは2025年4月からHackforumsで宣伝されており、主要なアンチウイルス製品を回避できると主張し、EXEおよびDLLファイルのサイドローディングをサポートしています。独自のChaCha20アルゴリズムのバリアントを使用し、「Process Hypnosis」と呼ばれるインジェクション手法でペイロードを検知されずに配布します。
攻撃者はさらに、レジストリキーの追加やDLLをユーザーのドキュメントフォルダーにコピーすることで永続化を図っていました。
Ghost Cryptの特徴とマルウェアの挙動
Ghost Cryptは以下の特徴をアピールしています:
-
Windows Defenderおよびクラウドベースの検知を回避
-
Windows 11 24H2+に対応
-
カスタマイズ可能なアイコンとDLLスタブサイズの調整機能
-
3日間の生存保証と無料の再暗号化サービス
-
LummaC2、Rhadmanthys、XWormなどのマルウェアファミリーをサポート
Windowsマルウェアのインジェクション技術について詳しくはこちら:Winos4.0マルウェアがゲームアプリで発見、Windowsユーザーを標的に
この攻撃では、DLLサイドローディングのためにHaihaisoftの正規ソフトウェア「hpreader.exe」が使用されました。eSentireは、これにより正規ツールと悪意あるローダーの区別が難しいという課題が浮き彫りになったと警告しています。
インジェクトされたPureRATペイロードはコマンド&コントロール(C2)サーバーと通信し、ユーザーデータやシステム情報を収集、さらに暗号資産ウォレットやLedger Live、Exodusなどのデスクトップアプリを探索します。
PureCoderの主力製品として進化するPureRAT
PureRATは、アンダーグラウンドの販売者PureCoderの主力製品としてPureHVNCに取って代わりました。
このマルウェアは.NETオブフスケーターで難読化され、AES-256やGZIPなどの暗号化レイヤーで圧縮されています。従来の実行技術ではなく、ダイレクトメモリインジェクションでDLLをロードします。
インストールに成功すると、マルウェアはブラウザ内の暗号資産ウォレット拡張機能をスキャンし、SetThreadExecutionState APIを利用してシステムがスリープモードに入るのを防ぎます。その後、収集したデータを送信し、オペレーターからの追加指示を待ちます。
eSentireは、特にクラウドストレージリンクを含む未知の送信元からの緊急の依頼に対して、組織が警戒を怠らないよう警告しています。また、ファイル拡張子の表示を有効にし、EDRツールを活用し、予期しない連絡の正当性を確認することを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/crypter-malware-targets-accounting/