HP Wolfの2025年第2四半期脅威インサイトレポートによると、脅威アクターは検知をより巧妙に回避するために新しいLiving-off-the-land(LOTL)戦術を使用しています。
これらの戦術には、1つのキャンペーン内で複数の、しばしば珍しいバイナリを使用することや、画像ファイルの新しい利用方法が含まれており、セキュリティチームが悪意のある活動と正当な活動を区別することを困難にしています。
HPセキュリティラボの主任脅威リサーチャーであるAlex Holland氏は次のように説明しています。「LOTLツールの連鎖や、画像などあまり目立たないファイルタイプの利用が増えています。リバースシェルを例にとると、完全なリモートアクセス型トロイの木馬(RAT)を設置しなくても、シンプルで軽量なスクリプトで同じ効果が得られます。これは単純で高速、しかも非常に基本的なため見逃されやすいのです。」
MSBuildを介したXWormマルウェアの実行
観測されたある事例では、攻撃者が複数のLOTLツール(あまり知られていないものも含む)を連鎖させ、データ窃取やリモート操作機能を持つRATであるXWormマルウェアを配信しました。
特筆すべきは、最終的なペイロードが信頼されたウェブサイトからダウンロードされた画像のピクセル内に隠されており、PowerShellでデコードされ、MSBuildを通じて実行された点です。
攻撃は、攻撃者が悪意のあるコンパイル済みHTMLヘルプ(.chm)ファイルをメール添付で配布することから始まりました。これらはプロジェクトのドキュメントに偽装されており、Windowsアプリケーションの利用時にユーザーがヘルプを必要とする際によく使われるものです。
悪意のあるファイルにはドキュメントは含まれておらず、マルチステージ感染を開始するための悪意あるスクリプトのみが含まれていました。
埋め込まれたスクリプトは、いくつかのWindows LOTLバイナリを使用して検知を回避し、ペイロードを実行します。これには、extrac32.exeを使って正規のWindows Script Host実行ファイル(cscript.exe)をSystem32からPublicユーザーディレクトリにコピーすることが含まれます。
このキャンペーンでは、VBScriptファイルがPublicディレクトリにドロップされ、PowerShellによってスクリプトが実行されました。
バッチファイルもPowerShell経由で実行され、ProgramDataディレクトリにJavaScriptファイルをダウンロードし、Windows標準のスクリプトインタープリターで実行します。
その後、PowerShellスクリプトはTagboxというデジタルアセット管理サイトから画像をダウンロードしました。このウェブサイトのドメインは信頼されており、ファイルも有効な画像であったため、ほとんどのセキュリティフィルターを回避しました。
しかし、この画像には隠されたデータが含まれており、ビットマップオブジェクトに読み込まれます。これにより、一連のイベントが発生し、最終ペイロードであるXWormが正規のMSBuildプロセス内でダウンロード、デコード、実行されます。
PDFを装ったマルウェア配布
9月12日に公開されたHP Wolfのレポートでは、マルウェア配布のためのスケーラブル・ベクター・グラフィックス(SVG)ファイルの新しい利用方法も強調されています。
SVGは、拡張可能マークアップ言語(XML)に似たテキスト命令を含み、コンピュータ上でリサイズ可能なベクター画像を描画します。
これらのファイルは、脅威アクターにとってさまざまな利点を提供します。たとえば、Windowsコンピュータではデフォルトのブラウザで開かれ、さまざまな形やグラフィックを描画できるため、複数の組織を装うことが可能です。
また、通常HTMLドキュメントのように振る舞うため、攻撃者はJavaScriptの埋め込みや、攻撃者が管理するサーバー上の外部リソースの参照など、標準的なウェブ技術を悪用できます。
2025年第2四半期に観測された新たな事例では、攻撃者は単体では悪意のない非常に小さなSVGファイルを配布しました。
ブラウザで開くと、このSVGはAdobe Acrobat Readerのインターフェースを巧妙に模倣して表示され、偽のドキュメントアップロードアニメーションや徐々に進むローディングバーまで備えていました。これにより、被害者は正規のウェブアプリケーションだと錯覚します。
偽のアップロードが完了すると、ユーザーは関係書類を取得するよう促されます。しかし、ダウンロードボタンをクリックすると、バックグラウンドで外部URLへのリクエストが発生し、ZIPアーカイブが配信されます。
このZIPアーカイブには、文字列置換によって難読化されたJavaScriptファイルが含まれており、攻撃者に感染システムへの基本的な制御権を与えます。
攻撃者はまた、特定の地域にダウンロードを制限するジオフェンシングも利用しており、自動分析の回避や検知の遅延を狙っています。
IMGアーカイブ経由で拡散するLumma Stealer
Lumma Stealerは、2025年第2四半期に研究者が観測した中で最も活発なマルウェアファミリーの一つとして浮上しました。
注目すべきキャンペーンの一つでは、情報窃取型マルウェアがフィッシングメール内のIMGアーカイブに埋め込まれ、検知を回避していました。
ディスクイメージには請求書に偽装したHTMLアプリケーション(HTA)ファイルが含まれていました。ユーザーがテキストエディタでファイルを確認しようとすると、埋め込まれたスクリプトは長い空白文字列の後ろに隠されており、簡単な分析を回避します。
実行されると、スクリプトはPowerShellコマンドをコンパイル・実行し、あらかじめ定められたURLから実行ファイルをダウンロードします。この実行ファイルは、インストーラー作成用のオープンソースツールであるNullsoft Scriptable Install System(NSIS)で作成されたWindowsインストーラーでした。
カスタムインストールスクリプトが実行され、さまざまなファイルパスを参照する複数のレジストリキーを作成し、多数の存在しないファイルを開こうとします。これは分析者を欺くためと考えられます。
最終的に、NSISインストーラーはさらに別のPowerShellコマンドを起動し、ローカルのAppDataフォルダにドロップされたファイルを実行します。
PowerShellは2つのシェルコードを実行し、複数回のアンパック処理を経てLumma Stealerを展開・実行しました。
研究者によると、Lumma Stealerインフラが2025年5月に法執行機関によって摘発されたにもかかわらず、キャンペーンは6月も継続し、運用者はインフラの再構築を始めているとのことです。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-novel-lotl-detection/