FortiGuard Labsは、Silver Fox APTグループに属する台湾を標的とした一連の標的型フィッシングキャンペーンを発見しました。この作戦では、税務監査、電子請求書通知、および偽の税務ソフトウェアインストーラーを使用して、被害者をマルウェアのダウンロードに誘導しています。
このキャンペーンは最終的にWinos 4.0(ValleyRatとしても知られています)と、長期的なコントロールと防御回避のために設計された悪意あるプラグインをデプロイします。
研究者たちは、攻撃者がドメインをローテーションし、クラウドホスティングサービスを悪用してペイロードを配布し、静的なドメインブロックを無効にしていることを観察しました。
過去2か月間に特定された配信方法には、悪意あるLNKファイル、正規のアプリケーションを通じたDLLサイドローディング、およびwsftprm.sysという署名付きカーネルドライバーを使用するBring Your Own Vulnerable Driver (BYOVD)技術が含まれます。
あるキャンペーンでは、被害者は「taxIs_RX3001.rar」という名前のRARアーカイブを受け取り、これにはデコイドキュメントと悪意あるショートカットファイルが含まれていました。
LNKはcmd.exeを経由して難読化されたコマンドを実行し、正当なcurl.exeユーティリティをリネームされたファイルでコピーし、リモートドメインから第2段階のインストーラーをダウンロードしました。
このインストーラーは埋め込まれた実行ファイルをC:\ProgramData\Goldenに抽出し、システムをWinos 4.0のデプロイメントに向けて準備しました。
2番目のキャンペーンでは、LNKダウンローダーをDLLサイドローディングに置き換えました。攻撃者は正当な実行ファイルと悪意あるDLLが組み合わされたアーカイブを配布しました。
信頼されたアプリケーションが起動すると、攻撃者によって制御されたDLLを読み込み、次の感染ステージを開始しました。
DLL内のデバッグパスの分析により、中国語の内部プロジェクト名が明らかになり、Silver Foxグループ内での組織的な開発ワークフローを示唆しています。
両方の感染チェーンは最終的に同じコマンド・アンド・コントロール(C2)サーバーインフラストラクチャーに接続されています。
コアペイロードを実行する前に、Winos 4.0は管理者権限をチェックします。必要に応じて、computerdefaults.exeとRPC AppInfoコールを伴うデバッグオブジェクトハイジャック技術を使用してユーザーアカウント制御(UAC)をバイパスします。
最も注目すべき戦術はBYOVDです。マルウェアはwsftprm.sysという正当に署名されているが脆弱なドライバーを読み込み、カーネルレベルのアクセスを獲得します。
ntdll.dllからNtLoadDriverおよびRtlAdjustPrivilegeなどのネイティブAPIを動的に呼び出すことで、マルウェアは標準的な監視コントロールをバイパスします。
その後、Windows脆弱ドライバーブロックリストに関連するレジストリ設定をチェックし、それに応じて適応します。カーネル特権を使用して、マルウェアは実行中のプロセスをスキャンします。
Microsoft Defender(MsMpEng.exe)、Avast、AVG、およびいくつかの中国語のセキュリティツールを含むセキュリティ製品を終了します。
C2アドレスはバイナリ内にBase64エンコードされています。接続すると、Winos 4.0は追加プラグインをWindowsレジストリに直接ダウンロードし、ファイル管理、スクリーンキャプチャ、リモートコントロール、およびシステム管理を有効にし、ディスクに新しいファイルを書き込まずに実行できます。
インフラストラクチャー分析により、共有されたドメイン登録詳細と開発マシン識別子が明らかになり、キャンペーンを以前のSilver Foxの作戦に結びつけました。
研究者たちは、これらの活動が脅威アクター内の専門化されたサブグループによる協調的で進化する取り組みを構成していると高い信頼度で評価しています。
翻訳元: https://cyberpress.org/silver-fox-abuses-drivers/