最近の調査により、当初はシンプルなPythonベースのインフォスティーラーから始まったフィッシングキャンペーンが、最終的にフル機能の汎用リモートアクセス型トロイの木馬(RAT)であるPureRATの展開へとつながったことが明らかになりました。
Huntressが公開したこの調査は、攻撃者がカスタムスクリプトの使用から、洗練された商用ツールの活用へと移行していった過程を浮き彫りにしています。
攻撃の連鎖
この作戦は、著作権通知を装ったZIPアーカイブを添付したフィッシングメールから始まりました。中には署名付きのPDFリーダー実行ファイルと悪意のあるversion.dllが含まれており、攻撃者はDLLサイドローディングを利用できました。これにより10段階の連鎖が起動し、ローダーの多層化、暗号化、永続化メカニズムによって、段階的に複雑さが増していきました。
このキャンペーンの特徴は、ステージ3でPythonスクリプトからコンパイル済みの.NET実行ファイルへ移行した点でした。
攻撃者はRegAsm.exeに対してプロセスホロウイングを実行し、AMSIやETWといったWindowsの防御機構をパッチで無効化し、さらなるペイロードを展開していき、最終的にDLLがPureRATであることが判明しました。このトロイの木馬は、暗号化されたコマンド&コントロール(C2)チャネル、ホストのフィンガープリンティング、追加の悪性モジュールを読み込む機能を攻撃者に提供します。
作戦の追跡
初期段階では、ChromeやFirefoxなどのブラウザからの認証情報窃取とデータ収集に重点が置かれていました。
盗まれた情報はZIPファイルにまとめられ、Telegram Bot APIを通じて送信されました。メタデータからハンドル名@LoneNoneとの関連が示され、このキャンペーンがPXA Stealerファミリーに結び付けられました。PXA Stealerは、これまでベトナム系脅威アクターとの関連が指摘されていました。
PureRATのC2サーバーもベトナムに追跡され、この帰属判断をさらに裏付けています。
PureRATの詳細はこちら:新しいCrypterを使用したマルウェアキャンペーンで会計事務所が標的に
防御上の教訓
このキャンペーンは、サイドロードされたDLL、certutilベースのデコード、難読化されたPythonローダー、.NETアセンブリのリフレクティブローディングなど、複数の回避手法の使用を示しています。
-
ファイルのデコードにcertutil.exeが不審に使用されている
-
C:\Users\Public\Windowsのような通常とは異なるディレクトリから正規の実行ファイルが実行されている
-
RegAsm.exeのプロセスホロウイング
-
攻撃者が管理する証明書でピン留めされた外向きTLS接続
同社は「このキャンペーンは、多層防御(Defense-in-Depth)の重要性を浮き彫りにしています。初期侵入はユーザーの実行に依存し、ローダーは信頼されたバイナリやシステムバイナリを悪用し、最終段階では防御回避によって潜伏し続けました」と記しています。
また「単一の制御では、この連鎖全体を止めることはできませんでした。攻撃のライフサイクル全体を理解し、certutilの悪用からWMIクエリ、暗号化されたC2トラフィックに至るまで、ここで示した特定の挙動を監視することで、組織はより強靭なセキュリティ態勢を構築できます」と述べています。
翻訳元: https://www.infosecurity-magazine.com/news/vietnamese-threat-actor-python/
