詐欺調査中に発見された高度なPythonベースのマルウェア配置は、難読化、使い捨てインフラストラクチャ、および商用攻撃ツールを含む層状の攻撃を明らかにしました。
この発見は、ユーザーが異常なデスクトップの動作と不正なPayPal送金を報告した後、Secuinfra Falcon Teamによって行われました。
このケースは、被害者が画面上に「奇妙な黒いウィンドウ」が一瞬現れるのに気づき、スクリーンショットを撮ったことから始まりました。
それらの画像は、出力を完全に抑制できなかったコマンドスクリプトのフラグメントを表示し、ペイロードのデコードと実行の証拠を露出させていました。
初期感染とPowerShellアクティビティ
Secuinfraは侵害されたシステムを調査しました。ログは、隠しモードで実行され、実行ポリシーがバイパスされるように設定されたPowerShellコマンドの繰り返しの使用を明らかにしました。1つのコマンドはIPアドレス43.156.63[.]124から「svchoss.exe」という名前のファイルを取得し、正当なWindowsプロセスsvchost.exeになりすまして、一時ディレクトリに保存しました。
このIPアドレスは自律システム132203に関連付けられており、「Tencent Building、Kejizhongyi Avenue」とラベル付けされ、インフラストラクチャはTencentにリンクされたネットワーク内にあります。研究者は、このようなホスティング場所がコマンド・アンド・コントロール(C2)操作のために頻繁に悪用されることに注目しました。
追加ダウンロードには、永続性を維持するためにスタートアップフォルダに配置されたバッチおよびVisual Basic(VB)スクリプトが含まれていました。メモリ分析により、%LOCALAPPDATA%\Microsoft\SystemCache25の下に展開された隠しPython環境の存在が後で確認されました。
Pythonマルウェア技術について詳しく読む:PyPIで発見された悪意のある機械学習モデル攻撃
メモリフォレンジック、難読化と認証情報盗取
ディスクイメージングは不可能でしたが、調査官はVolatility 3と文字列抽出ツールを使用してメモリダンプを分析しました。フィルタリング前に、5000を超える関連する侵害インジケータが特定されました。それらには、python.exe、xro.py、および複数のエンコードされたバイナリファイルへの参照が含まれていました。
特定されたIPアドレスをさらに調査して、同じサーバーでホストされた複数の悪意のあるペイロードが発見されました:
-
XWorm RAT v5.6
-
HTranトンネリングツール
-
Cobalt Strikeビーコン
-
svchoss.exeという名前のPyInstaller圧縮実行ファイル
Cobalt Strikeサンプルは、それがダウンロードされた同じサーバーと通信するビーコンとして確認されました。2025年12月5日現在、svchoss.exeのVirusTotal検出は71個中41個のエンジンに達しました。
PyInstallerサンプルの分析は、重い難読化を明らかにしました。技術には、改ざんされたPythonバージョンメタデータ、変更されたマジックバイト、誤解を招くファイル名、およびPyArmorの使用が含まれていました。抽出された文字列は、Chromium自動入力データ、暗号資産ウォレット、およびMozilla Firefoxプロファイルにアクセスしようとする試みを示し、認証情報盗取機能を示唆していました。
調査官は、初期感染ベクトルは確認できませんでしたが、システムが完全に侵害されたと結論付けました。ソーシャルエンジニアリング、悪意のあるダウンロード、またはメールベースの配信が最も可能性の高いエントリポイントのままです。
翻訳元: https://www.infosecurity-magazine.com/news/fraud-investigation-python-malware/
