新たに特定されたCoffeeLoaderと呼ばれるマルウェアローダーが、エンドポイントのセキュリティ対策を回避しながら第2段階のペイロードを展開していることが確認されました。
Zscaler ThreatLabzの研究者は、2024年9月の出現当初からこのマルウェアを追跡しており、 SmokeLoaderと併用されている事例を観測しています。
従来のマルウェアローダーとは異なり、CoffeeLoaderは検知を回避するための複数の手法を取り入れています。ASUSのArmoury CrateユーティリティになりすますGPUベースのパッカー「Armoury」を使用し、仮想環境での解析をより困難にします。
このローダーのコールスタック偽装機構は、関数呼び出しの発生源を隠蔽します。これはBokuLoaderを想起させる戦略です。さらに、スリープ難読化も利用し、アイドル時にメモリ状態を暗号化してセキュリティスキャンを回避します。
マルウェアの回避手法について詳しく読む:ランサムウェアグループはデータ流出のために防御回避を優先
インストールされると、CoffeeLoaderのドロッパーは、ユーザー権限に応じて特定のディレクトリにペイロードをコピーします。管理者権限が利用可能な場合、マルウェアはWindowsタスクスケジューラを用いて永続化を確立します。
最近のバージョンでは10分ごとに実行されるスケジュールタスクを作成しており、30分ごと、またはログオン時に実行していた旧来の反復から進化しています。
ステージャーコンポーネントは、停止状態のシステムプロセスにメインモジュールをインジェクトし、スレッド実行を改変してマルウェアが検知されずに動作するようにします。メインモジュールはさらに、監視されることの少ないマルチタスク機構であるWindows fibersを活用して難読化を強化します。
CoffeeLoaderは、iPhoneを装うハードコードされたユーザーエージェントを使用し、HTTPS経由でコマンド&コントロール(C2)サーバーと通信します。
傍受を防ぐため、証明書ピンニングを実装しています。主に2種類のリクエストメッセージ(登録とタスク取得)をサポートします。
登録時にマルウェアはボットIDを受け取り、その後タスクを要求します。タスクには、シェルコードのインジェクション、実行ファイルの展開、またはスリープ難読化設定の変更が含まれる場合があります。
CoffeeLoaderは、従来の回避戦術にGPUベースの暗号化と高度な永続化メカニズムを組み合わせた、マルウェア設計における重要な進化を示しています。
「このローダーは、AV、EDR、マルウェアサンドボックスによる検知を回避しようとする脅威グループにとって有益な高度な機能を提供します」とZscalerは説明しました。
「また、SmokeLoaderとCoffeeLoaderには顕著な類似点があり、前者が後者を配布しているものの、両マルウェアファミリー間の正確な関係はまだ明らかではありません。」
脅威アナリストは、サイバー犯罪者の活動におけるこのマルウェアツールの開発と使用状況の監視を継続しています。
翻訳元: https://www.infosecurity-magazine.com/news/coffeeloader-linked-smokeloader/
