攻撃者は、多段階の感染ベクターを用いる高度なキャンペーンを組織し、侵害されたシステムを密かに支配下に置くよう設計されたリモート管理ツールであるRemcos RATを展開しています。この攻撃を特定したSecuronixの研究者は、これをSHADOW#REACTORと命名しました。巧妙な配布メカニズムと執拗な回避アーキテクチャの融合によって特徴づけられます。
感染シーケンスは、複数のコンポーネントを順次実行することを前提としており、各コンポーネントは難読化され、互いに不可分に結び付けられています。このプロセスは、標準のWindowsシステムコンポーネントであるwscript.exeを介して実行される、秘匿されたVisual Basicスクリプトによって開始されます。
このスクリプトはPowerShellダウンローダーを起動し、外部サーバーからペイロードの平文セグメントを取得します。これらのセグメントはシステムメモリ内で再構成され、エンコードされたローダーを形成します。その後、セキュアな.NETベースのコンポーネントを通じて実行され、リモートリソースからRemcos RATの設定を取得します。
最終段階では、著名なLOLBin(Living Off the Land Binary)として認識される正規のシステムユーティリティであるMSBuild.exeを活用し、OSに備わるツールを悪用してセキュリティ対策の回避を促進します。その結果、悪性コンポーネントはすべてメモリ常駐となり、物理ディスク上に目立つ実行ファイルを置く必要がなくなります。
専門家は、このキャンペーンを標的型の一撃ではなく、広範で機会主義的な試みだと位置付けています。主な標的は企業ネットワークおよび中小企業のインフラです。用いられる戦術は、他の犯罪組織に販売するための永続的な侵入口の確立を専門とするInitial Access Brokers(初期アクセスブローカー)の手口を想起させます。なお、既知の脅威アクターへの決定的な帰属は確認されていません。
この戦略の特徴は、中間のテキストファイルに依存し、PowerShellスクリプトを繰り返し呼び出してローダーをシステムのRAM内で直接組み立てる点にあります。これによりフォレンジック解析は大幅に困難になります。さらに、コンポーネントは.NET Reactorの仕組みによって強化されており、悪性コードの分解に対する追加の障壁となっています。
初期スクリプトがシーケンスを開始しますが、これはおそらくユーザーが有害なハイパーリンクを操作した後に実行されます。テキストファイルが一時ディレクトリにダウンロードされると、PowerShellスクリプトがそのサイズと整合性を検証します。データが不十分な場合、処理は一時停止し、取得を再開します。この検証により、破損または不完全なファイルによって実行が中断されることを防ぎ、全体の仕組みをより堅牢にします。
前提条件が満たされると、後続のPowerShellスクリプトが生成され、.NETローダーを呼び出して次段階のマルウェアを取得し、仮想マシンやデバッガーに対する環境チェックを実行します。このような周到さにより、マルウェアは長期間にわたって不可視性を維持します。
さらに、攻撃の最中に補助スクリプトが導入され、主要コンポーネントの再実行とシステム支配の維持を確実にします。この仕組みの設計者は、意図的にモジュール式のインフラを構築しており、ペイロードを柔軟で分類しにくく、静的解析に対して非常に強いものにしています。
SHADOW#REACTORキャンペーンは、ネイティブのWindowsユーティリティの悪用から実行フローの継続的な監視に至るまで、高度な戦略的洗練を示しています。特にエンドポイント保護が不十分な組織にとって、手強い脅威となります。
翻訳元: https://meterpreter.org/shadows-in-the-ram-the-shadowreactor-campaign-unleashes-remcos-rat/
