Cyble Research and Intelligence Labs(CRIL)は、複数の脅威アクターが共有する汎用ローダーを悪用した高度なマルウェアキャンペーンを発見しました。
進行中のこの作戦は、イタリア、フィンランド、サウジアラビアの製造業および政府機関を標的としており、機密性の高い産業データと高価値の認証情報を流出させることを主な目的としています。
攻撃者は、正規の購入注文(Purchase Order)連絡を装ったフィッシングメールを通じてマルウェアを配布します。
添付されたRARまたはZIPアーカイブには、悪意のあるJavaScript、LNKショートカット、またはMicrosoft Equation Editorの CVE-2017-11882 を悪用するOffice文書が含まれています。これらのファイルが開かれると、ステルス性の高いペイロード配信の一連の流れが開始されます。
感染プロセスは 4段階 で構成されます。まず、強く難読化されたJavaScriptペイロードが、Windows Management Instrumentation(WMI)を使用して隠しPowerShellプロセスを起動します。
このスクリプトはArchive.orgから画像ファイルをダウンロードし、 ステガノグラフィ によりピクセルデータ内に悪意のある.NETアセンブリを隠します。ペイロードはメモリ上で抽出され、ディスクへの書き込みを回避して検知を逃れます。
次の段階では、悪意のあるコードを含むよう改変されたオープンソースのTaskSchedulerライブラリのトロイの木馬化版が、リフレクティブに読み込まれます。
それはエンコードされたペイロードを取得し、反転およびデコードしたうえで、プロセスホローイングにより RegAsm.exe などの正規のWindowsプロセスへ注入します。この手法により、マルウェアは信頼されたシステムバイナリの下で実行され、従来のセキュリティツールを回避できます。
CRILが分析した最終ペイロードには、ブラウザの認証情報、暗号資産ウォレットのデータ、VPN設定ファイル、メールクライアントの認証情報を収集する情報窃取型マルウェアである PureLog Stealer が含まれていました。
盗まれたデータは、攻撃者のコマンド&コントロール(C2)サーバー 38.49.210[.]241 へ送信されます。研究者はまた、 新しいユーザーアカウント制御(UAC)バイパス 手法も発見しました。
このマルウェアはシステムプロセスを監視し、正規アプリケーションの起動中にUACプロンプトを発生させ、ユーザーが気付かないうちに昇格権限を付与してしまうよう誘導します。この挙動は、脅威が高度な回避設計を備えていることを示しています。
Seqrite、Nextron Systems、Zscalerなど他のセキュリティ企業も、 PureLog、Katz Stealer、DC Rat、Async Rat、Remcos を含むRATやスティーラーにおいて、同様のローダー特性を観測しています。
CRILは、製造業および産業分野の組織に対し、メールセキュリティの強化、スクリプト実行の制限、そしてメモリベースの脅威を検知する EDR ソリューションの導入を促しています。
さらに、信頼できないソースからの画像ファイルは隠しデータの有無を分析すべきです。攻撃者は悪意のあるペイロードを隠すために ステガノグラフィ をますます利用しているためです。
翻訳元: https://cyberpress.org/commodity-loader-attacks/