KongTuke脅威集団に関与する攻撃者は、Google Chromeユーザーの侵害を目的に特別に設計された高度な悪性系統「CrashFix」を新たに立ち上げました。Huntressの調査結果によれば、侵入はNexShieldと題された偽の拡張機能の入手から始まり、これは高評価の広告フィルターuBlock Origin Liteを密かに装っていました。公式のChrome Web Storeに掲載されていたことで、このインプラントには本物らしい見せかけの信頼性が与えられていました。
被害者がCrashFixの策略に遭遇するのは、ブラウザが応答不能に陥り、突然終了したときです。復旧後、重大なシステム障害が発生したと主張し、異常を是正するための「セキュリティ監査」を提案するポップアップ画面が表示されます。ユーザーはWindowsの「ファイル名を指定して実行」ダイアログを開き、あらかじめコピーされたコマンドを実行するよう強要されます。実際には、このコマンドが攻撃者のインフラから取得した有害なPowerShellスクリプトを起動します。ヒューリスティック検知を回避するため、正規ユーティリティfinger.exeは%temp%ディレクトリへ移動され、ct.exeへ改名されて、LOLBin(Living off the Land Binary)として利用されます。
この攻撃は主に、ドメイン参加している企業環境を標的とします。その場合、被害者のワークステーションにはModeloRATと呼ばれる特注トロイの木馬が感染します。Pythonで作成されたこのマルウェアは、独自のWinPython環境を含むアーカイブに同梱されており、既存のPythonインストールに依存せずに動作します。ModeloRATは、高度なRC4暗号化方式、レジストリベースの永続化機能、そして包括的なテレメトリ収集能力を特徴とします。存在を隠すため、自動実行キーには「Spotify47」や「Adobe2841」といった無害に見える名称を採用します。
一方、家庭ユーザーは、多層的なPowerShell難読化と、コマンド&コントロール(C2)アドレスを週次で更新するドメイン生成アルゴリズム(DGA)に基づく別の感染チェーンにさらされます。最終スクリプトはシステムパラメータを精査して固有の数値フィンガープリントを生成し、研究環境やサンドボックス環境の特徴が見られる場合、ペイロードは休眠したままとなります。
アンチウイルス & マルウェア
NexShieldには遅延実行メカニズムが組み込まれており、インストールから60分後にのみ悪意ある機能を有効化して、その後に起きる不安定化と拡張機能との関連を切り離します。この拡張機能はChrome APIを介して数十億の同時接続を開始し、ブラウザに意図的な過負荷をかけることで、後に「修復」すると申し出るフリーズやクラッシュを自ら引き起こします。この仕組まれた障害のサイクルは、ユーザーが拡張機能を削除するか、侵害を確定させるコマンドを実行するまで続きます。
この拡張機能はさらに、UUIDやバージョン情報を含むユーザーメタデータをnexsnield.comドメインへ流出させ、インストールと削除を綿密に追跡します。加えて、開発者ツールの起動やページのソースコード検査を妨げるためのアンチ解析技術も用いられます。KongTukeキャンペーンのアーキテクチャ上の高度さは、企業ネットワーク内での足場を深めるための組織的な取り組みを示しており、特にActive Directoryと内部インフラを狙っています。Huntressの専門家は、このような多面的な侵入に対する最も有効な防衛策として、堅牢なネットワーク監視と、バックグラウンドで動作するPowerShellプロセスの厳格な監視を挙げています。
翻訳元: https://meterpreter.org/the-browser-trap-kongtukes-crashfix-extension-turns-chrome-into-a-backdoor/
