TokyoBlackHatNews

cyberpress.org 4分で読了

Rhysidaランサムウェア、偽PuTTYおよびGoogle Authenticatorを介して配信

Rhysidaランサムウェアオペレータは、PuTTYやGoogle Authenticatorなどの一般的なツールを模倣した偽のウェブサイトを介して攻撃を実行しています。これらのマルバタイジングキャンペーンは、ユーザーを騙して署名付きMSIインストーラーをダウンロードさせ、2024年半ばに最初に報告されたマルチステージC++ローダーであるOysterLoaderを展開しています。

攻撃者はSEO毒害とBingまたはGoogleの有料広告を使用して、PuTTY、WinSCP、またはGoogle Authenticatorになりすましたサイトを宣伝しています。

被害者は正規のMSIインストーラーのように見えるものをダウンロードします。多くの場合、警告を迂回するために盗まれた証明書で署名されています。感染は4段階で展開されます:TextShellパッカー(ステージ1)、カスタムシェルコード(ステージ2)、中間ダウンローダーDLL(ステージ3)、およびコアローダー(ステージ4)です。

ステージ1はAPIハンマリングを採用しており、CreateSolidBrushやGetDCなどのGDI関数への無関係な呼び出しでコードをフラッディングして、良性ソフトウェアを模倣し、ヒューリスティクスを回避します。

IsDebuggerPresent()などの基本的なアンチデバッグチェックとカスタムハッシング(h = (h * 0x2001 + ord(ch))など)によるダイナミックAPI解決が含まれています。メモリはNtAllocateVirtualMemoryを使用してRWX権限で割り当てられ、シャッフルされたシェルコードは実行前に8バイトチャンクでコピーされます。

ステージ2シェルコードはカスタムLZMAルーチンでペイロードを展開し、7-Zipなどのツールを回避するための非標準ヘッダーを特徴としています。

位置独立コードのための再配置修正を適用し、LoadLibraryA/GetProcAddressを介してインポートを解決し、VirtualProtectでexecutable権限を設定します。

ステージ3は環境チェック(プロセス数が60未満の場合は終了)、「h6p#dx!&fse?%AS!」などのミューテックス作成、および繰り返されるBeep/Sleepループを介したタイミングテストを実行します。

HTTPS上のC2に/regで接触し、なりすましヘッダー(WordPressAgent UA、x-amz-cf-id botID)を使用してから、/loginで「vpjNm4FDCr82AtUf…」キーを使用してRC4暗号化されたPEデータを非表示にするステガノグラフィーICOをフェッチします。

DLL(例:COPYING3.dll)は%APPDATA%にドロップされ、タスクスケジューラを介して13分ごとに実行されるよう永続化されます:schtasks /Create /SC MINUTE /MO 13 /TN “COPYING3” /TR “rundll32.exe … DllRegisterServer”。

ステージ4(コア)はLZMAアンパッキングなどのオブファスケーションを再利用し、HTTPポート80上でハードコードされたIP(85.239.53.66、51.222.96.108、135.125.241.45)へのビーコンを使用します。

カスタムBase64アルファベット(「yog/N3fj5ISmbep=Wu2k+BZcP0t4CYR1dQxHUaXEwGDKJV7i9ML6snhzrlqO8vAFT」)とメルセンヌツイスターシフトでエンコードされたJSONフィンガープリント(ユーザー名、OSバージョン、新しいバリアントではプロセス)を送信します。

エンドポイントは進化しました:/api/kcehcチェックイン用、/api/jgfnsfnuefcnegfnehjbfncejfhコマンド用。最新版(2026年1月)はgrandideapay[.]comなどのドメイン上の/api/v2/initと/api/v2/facadeを使用します。

OysterLoaderはRhysidaランサムウェアを促進し、WIZARD SPIDERにリンクされており、VidarなどのスティーラーまたはGootloaderチェーン経由で配信されます。

Rhysidaは信頼されたMicrosoftの署名を悪用し、200以上の失効を招き、2025キャンペーンで47の証明書をサイクルしました。最近のドメイン:grandideapay[.]com、nucleusgate[.]com。ミューテックス:「h6p#dx!&fse?%AS!」、「s6p1dx!&fse?%AS!」。タスク:VisualUpdater、AlphaSecurity。

エンドポイントツールはAPIフラッディングとカスタムLZMAを検出します。ネットワークフィルタは異常なJSON/Base64ビーコンをキャッチします。

翻訳元: https://cyberpress.org/fake-putty-delivers-rhysida/

ソース: cyberpress.org
#C2通信 #OysterLoader #Rhysidaランサムウェア #SEOポイズニング #WIZARD SPIDER #コード難読化 #デジタル署名悪用 #マルウェア配信 #マルバーティジング #ローダーマルウェア

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に