このスティーラーキャンペーンは進化し、最終的に多機能かつモジュール式のPureRATを展開する多段階の配信チェーンとなった。
セキュリティ研究者は、ベトナムの脅威グループが独自のPXA Stealerキャンペーンから進化し、多層的な配信チェーンで多機能なリモートアクセス型トロイの木馬「PureRAT」を投下していることを明らかにしました。
Huntressの分析によると、このグループはフィッシング誘導、難読化されたローダー、レジストリ永続化、AMSIおよびETWパッチ、TLSピン留めされたコマンド&コントロール(C2)など、10段階のペイロードを運用しています。
「ローダーを連鎖させ、さまざまな暗号化方式を混ぜ、PureRATへとピボットする手法は意図的なものに感じます——時間稼ぎが目的です」と、Huntressのシニアハント&レスポンスアナリストであり本レポートの寄稿者であるAnna Pham氏は述べています。「これは“やり逃げ”型のマルウェアではありません。このグループが環境内に長く留まることを望んでいる証拠です。」
PXA StealerはPythonベースの情報窃取ツールとして以前から存在し、Telegramの@LoneNoneというエイリアスに関連付けられ、認証情報やブラウザデータの収集に使われてきました。
複雑なチェーンで包まれたコモディティマルウェア
PureRAT自体は新しいものではなく、リモート管理ツールキットとして販売されているコモディティRATで、隠しデスクトップアクセス(HVNC/HRDP)、マイク・ウェブカメラのスパイ、レジストリ管理、暗号ウォレット監視などの機能を備えています。しかし、PXAキャンペーンを特徴づけているのは、それを取り巻く精巧な配信シーケンスです。
感染は著作権侵害通知を装ったフィッシング誘導から始まり、最終的にはリネームされた実行ファイル内に隠されたPythonローダーを引き出すものでした、とHuntressの研究者は木曜日の公開に先立ちCSOに明かしました。各段階で次のペイロードを解凍または復号し、Base84、AES、RC4、XORエンコーディングが重ねられていました。後半の段階では.NETアセンブリに切り替わり、プロセスホローイングやリフレクティブローディングを用いて検知を回避します。最終的にPureRATが展開されるまで、防御側は10近いペイロードを解きほぐす必要がありました。
「これは確実に成熟度が一段階上がっています」とPham氏は述べ、AMSIパッチやTLS証明書ピン留めによる回避手法を指摘しました。「これが彼らを唯一無二にするわけではありませんが、短期的な攻撃ではなく、持続的なアクセスを目指す脅威アクターの仲間入りをしたことは間違いありません。」
ローダーの連鎖や防御回避の戦略は、中堅グループが解析を困難にしようとする中でますます一般的になっています。PureRATの設定データには、ピン留めされたx.509証明書やベトナムのC2サーバーに紐づくポートが含まれており、運用者が存在を隠そうとした試みが明らかになりました。
Telegramとベトナムのインフラが特定につながった
流出したZIPアーカイブ内のメタデータから、以前PXA Stealerと関連付けられていたTelegramハンドル@LoneNoneが指摘されました。同じエイリアスは過去のCiscoやSentinelOneのレポートにも登場しており、ValidinもPureRATのインフラをベトナムのアクターに結び付けていると研究者は述べています。
本レポートの主執筆者でSOCアナリストのJames Northey氏は、その進化を強調します。「昨年12月のCiscoのレポートでは、より単純な攻撃チェーンが示されていました。私たち(およびSentinelOne)が発見したのは、短期間で脅威アクターのTTP(戦術・技術・手順)が明確に進化していることです(私はこれを5月に発見しました)。6ヶ月前はほとんど知られていませんでしたが、今では非常にステルス性の高いマルウェアと強力なコモディティRATを組み合わせています。」
Telegramインフラ、ベトナムのC2サーバー、運用者の特徴的な手口など、複数の要素が重なったことで、Huntressはこの活動をPXAに結び付ける自信を持ちました。SOCチームはPureRATモジュールが完全に展開される前に侵入を修復できたと、研究者は付け加えています。
Pham氏は、これは孤立した事例ではないと指摘します。「より多くの中堅グループがコモディティマルウェアとローダーを組み合わせ、難読化や防御回避を重ねています。これらはかつて高度な脅威アクターに特有だった手法です。今後もPureRATのようなMaaS(サービスとしてのマルウェア)が複雑な配信チェーンで包まれた“コモディティプラス”型のキャンペーンが増えると予想しています」と述べました。
HuntressのSOCディレクターであるRobert Knapp氏は、PXAの進化するTTPを、防御側と脅威アクターの間で続く「猫とネズミ」の関係の一部と見ています。この高度化の中にも明るい側面があるとし、「これは、Huntressのこれまでの経験でも見られる傾向であり、防御能力の向上に直接反応して脅威アクターが戦術を成熟させ続けていることを示しています」と述べました。
