SHADOW#REACTORとして追跡されているマルチステージWindowsマルウェアキャンペーンがサイバーセキュリティ研究者によって分析され、Remcos遠隔アクセストロイの巧妙な展開を目的とした複雑な感染チェーンが明かされました。
Securonix脅威調査チームによって発見されたこのキャンペーンは、正規のWindowsツールを悪用して検知を回避しながら永続性を維持する、スクリプトおよびメモリ内ローダーのシーケンスに依存しています。
攻撃はwscript.exeを介して起動された難読化されたVisual Basic Script(VBS)の実行で始まります。この初期スクリプトは実行の受け渡し以上のことはほとんど行いません。メモリ内で大幅にエンコードされたPowerShellコマンドを構築して実行し、ディスク上の明らかな悪意のあるインジケーターを回避します。
そこからPowerShellはリモートサーバーでホストされているペイロードフラグメントの一連を取得し、それらを実行可能なコンポーネントに再構築します。
ただし、実行可能ファイルを直接ダウンロードする代わりに、攻撃者はエンコードされたペイロードを含むテキストファイルに依存しており、サイズのしきい値に達するまで繰り返しフェッチされます。このデザインは信頼性を確保しながら、静的分析とサンドボックスを複雑にするのに役立ちます。
テキストペイロードが再構築されると、脅威アクターによってしばしば転用される商用コード保護ツールである.NET Reactorで保護された.NETアセンブリによってデコードされてメモリ内にロードされます。
このローダーは後続のステージを統制し、アーティファクトをクリーンアップし、オプションで分析防止チェックを実行します。
最終的に構成データを取得し、living-off-the-land(LOL)ツールとして悪用される信頼されたMicrosoft署名付きバイナリであるMSBuild.exeを使用して実行を引き継ぎます。
遠隔アクセストロイの詳細:マルウェア分析により破損ヘッダーを持つ高度なRATが明かされる
最終ペイロード:Remcos RAT
分析により、最終ペイロードがRemcos RATであることが確認されました。これは商用利用可能な遠隔管理ツールで、悪意のある目的でよく使用されます。
暗号化された構成ブロブを介して配信され、Remcosは感染したシステムの完全な遠隔制御を許可します。これにはファイルアクセス、コマンド実行、オプションの監視機能が含まれます。このキャンペーンでは、通常観察されるより遥かに精巧なローダーを通じて展開されます。
この調査結果は、広く日和見的なターゲティングを目的とした、積極的に保守されているモジュラーフレームワークを示しています。
「この性質のキャンペーンを検出して破壊するために、防御者はスクリプトベースの実行パスへの可視性[…]、およびスクリプティングエンジンから信頼できないインフラストラクチャへの送信HTTPアクティビティを優先すべきです」とSecuronixは述べました。
同社はこの調査を脅威分析チームに起因するものとし、現在SHADOW#REACTORを特定の脅威グループまたは国家支援アクターに関連付けるための十分な証拠がないことを指摘しています。
「リフレクティブ.NETロード、テキストベースのステージングパターン、およびLOLBAS悪用[…]に対する追加の焦点は、最終的なRemcosペイロードが完全に展開されて運用される前にこれらの脅威を特定する可能性を実質的に向上させるでしょう。」
画像クレジット:ssi77 / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/shadowreactor-text-staging-remcos/
