TokyoBlackHatNews

darkreading.com 5分で読了

Shadow#Reactor、テキストファイルを使ってRemcos RATを配布

野ネズミ

出典:Alamy Stock Photo(David Bleeker Photography)

Shadow#Reactorとして知られるキャンペーンは、一般的なバイナリではなくテキストのみのファイルを用いて、被害者を侵害するためのRemcosリモートアクセス型トロイの木馬(RAT)を配布している。

セキュリティベンダーSecuronixの研究者らは昨日、VBScriptなどの言語で書かれたスクリプトを実行するためにOSが使用する正規ユーティリティであるWindows Script Hostを悪用する、多段階のWindowsマルウェアキャンペーンの詳細を公開した。 

攻撃者がソーシャルエンジニアリングの誘導(フィッシングなど)によって初期アクセスを得ると、VBSランチャーがPowerShellダウンローダーを起動し、研究者によればそれは「リモートホストから断片化されたテキストベースのペイロードを取得する」。これらの断片はMSBuildを介してローダーに再構成され、メモリ上でデコードされ、Remcos RATのダウンロードに使用される。 

これは巧妙なLiving-off-the-Land型の手口であり、攻撃者が防御機構を欺いて標的システムに忍び込む方法のハードルを引き上げている。 

Shadow#Reactorの高度なマルウェア配布システム

Securonixの脅威研究者であり投稿者でもあるAkshay Gaikwad氏、Shikha Sangwan氏、Aaron Beardslee氏によると、Shadow#Reactorキャンペーンは、防御側のリソースを可能な限り活用しながらマルウェアを配布するために、綿密に編成されたプロセスを用いている。 

まず標的は悪意のあるリンクをクリックするか、投下されたファイルを開き、「最小限」のスクリプトを実行する。このスクリプトは強く難読化されたPowerShellペイロードを構築する。該当ペイロードは「%」文字で意図的に破損させることで難読化され、システムによる早期デコードを回避する。その後、スクリプトは各%を「C」文字に置き換え、メモリ上で直接実行する。 

「この手法は多層のブートストラップを作り出し、VBS段階はそれ自体では悪意のあるロジックを実行せず、制御を完全にPowerShellへ引き渡す」と、研究者らは説明した。「エンドポイントの観点では、この挙動は、wscript.exeが異常に長いインラインコマンド文字列でpowershell.exeを生成すること、Desktopや%TEMP%などユーザーが書き込み可能なディレクトリから実行されること、そしてVBSファイル内にエラー抑制とWScript.Shellの使用以外の静的指標がほとんどないこととして特徴づけられる。」

その後、PowerShellペイロードはテキストベースのペイロード配布メカニズムを確立し、「制御されたダウンロードと検証のループを実装し、ダウンロードしたデータが事前定義された最小サイズに達するまでリモートコンテンツを繰り返し取得する」。ペイロードを分割して配信することで、標的側の防御は通常、ファイル断片をテキストの断片として扱い、最終的にRemcosRATになるものだとは見なさない。テキストはコンパイルされデコードされ、Remcos RATが展開される。 

Securonixによれば、Remcosはリモートアクセスのために使用される商用ツールであり、「脅威アクターによって広く悪用目的に転用されている」。Remcosは、成功した攻撃者に標的システムの完全な制御を与え、対話型のデスクトップへの完全なアクセスと、それに伴うあらゆること――ファイル管理、リモート実行、永続化設定、横展開の可能性、その他の機能――を可能にする。 

ビジネス上のリスクと防御側の緩和策

Securonixは、Shadow#Reactorの活動は主に、企業および中小企業に対する広範で機会主義的な標的化(つまり業種や地域に特化しない)として確認されていると述べている。 

研究者らによれば、「感染ベクターには、悪意のある、または侵害されたWebリソース、スクリプトの直接ダウンロード、そして正規の更新や文書アーティファクトを装ったVBSファイルの実行など、ユーザー操作に依存するファイルベースの配布が含まれる」。 

現時点で同社は、この活動を特定の脅威アクターに結び付けることはできていないが、このキャンペーンは金銭目的であるように見え、初期アクセスの仲介が収益化戦略となる可能性がある。 

最終的に、このキャンペーンは、標的側のユーティリティに依存しながらも、脅威アクターが強力な防御ツールを回避できる巧妙な方法を反映している。また、ソーシャルエンジニアリングの手口を常に最新のものとして把握し、信頼できるソースからのものだと確実に検証できないファイルはダウンロードしないことの重要性を改めて示している。 

Securonixは組織に対し、ダウンロードしたスクリプトを実行するリスクについてユーザーを教育すること、スクリプト実行元を検証すること、エンドポイント検知・対応(EDR)機能を強化すること、高度なPowerShellテレメトリを活用すること、そして不審なスタートアップフォルダーのショートカットやスケジュールタスク作成といった永続化の痕跡を監視することを推奨している。 

翻訳元: https://www.darkreading.com/endpoint-security/shadow-reactor-uses-text-files-to-deliver-remcos-rat

ソース: darkreading.com
#EDR(エンドポイント検知・対応) #Living off the Land(LotL) #PowerShell #Remcos RAT #SHADOW#REACTOR #VBScript #Windows Script Host #Windowsマルウェア #フィッシング(ソーシャルエンジニアリング) #リモートアクセス型トロイの木馬

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開