Pulsar RATと呼ばれる巧妙なマルウェアキャンペーンが、Windowsマシンに深刻な被害を与えています。PCに既にあるツールを悪用する「Living off the Land」手法で、潜伏を図ります。
攻撃は、ユーザーのRunレジストリキーに忍ばせたバッチファイルから始まります。このファイルがPowerShellローダーを取り出し、続いてexplorer.exeのような正規プロセスへシェルコードを注入します。ディスク上に大きなファイルを残さないため、アンチウイルスが検知しにくくなります。
最終ペイロードは、.NET製のスティーラーとリモートアクセスツール(RAT)です。認証情報を奪い、Webカメラやマイクで盗聴・盗撮し、DiscordまたはTelegram経由で戦利品を送信します。
攻撃者は、仮想マシンやデバッガーの有無を確認するなど、検知回避の動きを好みます。これは、Donutのような無償ツールを使ってメモリ内ロードを行う、モジュール型の.NETマルウェアが増えていることを示しています。
この攻撃チェーンは3段階です。まず、隠しバッチファイルが%APPDATA%\Microsoft[random][batfile].batに配置され、Runキーが設定されます:HKCU\Software\Microsoft\Windows\CurrentVersion\Run[random] = “cmd.exe /c [bat path]”。ログイン時に静かに実行されます。
バッチは自身のBase64ブロブ(::6bbd64163c24f552::とマーク)を読み取り、%TEMP%内のps_7b948266.ps1のような一時PS1ファイルにデコードし、実行ポリシーを回避して起動します。その後、痕跡を削除します。
PowerShellが中核処理を担います。DonutシェルコードをXOR復号し、監視を回避するため80秒待機し、CreateRemoteThread経由でsvchost.exeに注入します。
ウォッチドッグループが必要に応じて再生成し、VirtualAllocExやWriteProcessMemoryなどのAPIを使ってexplorer.exe内で動作させます。
Donutは(Chaskey暗号により)復号してClient.exe(MD5: 666493877fb7328c3e8c313fbcfdfd1e)を展開します。この.NETファイルは、Pulsar.Common.dllとStealer37.dllをメモリ上で読み込みます。
Pulsar RATは、RAT機能(リモートシェル、タスクマネージャー無効化、UAC切り替え)とスティーラーモジュールを備えています。
解析妨害も際立っています。バックグラウンドスレッドがデバッガー(x64dbg、dnSpy)、VM、インジェクションを探索します。ホストをプロファイルし、暗号資産ウォレット目的でクリップボードをフックし、画面をキャプチャし、Webカメラ/音声をストリーミングします。
Point Wildによると、戦利品はIntelIX.txtの要約を含むZIPにまとめられ、DiscordのWebhookまたはTelegramボットへ送出されます。C2は185.132.53.17:7800のような宛先に到達します。
MITRE ATT&CKでは、T1055(プロセスインジェクション)、T1059.001(PowerShell)、T1562.001(ツール無効化)、T1027(難読化)に対応します。
セーフモードで再起動し、UltraAVでスキャンしてください(Trojan_210126_Donut_Clientとして検知)。挙動監視により、アンチVMの手口を上回ります。
このキャンペーンは、公開ツールとカスタムコードを組み合わせ、長期的な窃取を狙います。Windowsをパッチ適用し、Runキーを監視し、挙動ベースの防御を使用してください。
翻訳元: https://cyberpress.org/pulsar-rat-hits-windows/