Deno JavaScriptランタイムを悪用してCastleRAT(スパイ活動とデータ盗難を目的とした強力なリモートアクセストロイの木馬)を配信する高度なマルウェアキャンペーン。
このキャンペーンは、攻撃者がソーシャルエンジニアリング、信頼できる開発ツール、およびステルス技術を組み合わせて、従来のエンタープライズ防御を回避する方法を示しています。
従来のマルウェアローダーに依存する代わりに、攻撃者は悪意のある活動を正当なソフトウェアの背後に隠し、ペイロードを画像ファイル内に隠蔽します。
攻撃は「ClickFix」として知られるソーシャルエンジニアリング方法で始まります。被害者は、偽のブラウザエラーメッセージまたはCAPTCHA検証プロンプトを表示する、侵害されたまたは悪意のあるウェブページにリダイレクトされます。
ページはユーザーにコマンドをコピーしてWindowsの「ファイル名を指定して実行」ダイアログまたはターミナルに貼り付けるよう指示します。
ThreatDownリサーチチームによる調査によると、この作戦は、脅威アクターがマルウェア感染チェーンの一部としてDenoランタイムを武器化した最初の文書化されたケースです。
ユーザーが手動でコマンドを実行するため、通常は自動ダウンロードをブロックするセキュリティフィルターがこの活動を検出しない可能性があります。
実行されると、コマンドは感染チェーンを開始する悪意のあるインストーラーをサイレントにダウンロードして起動します。
Denoランタイムの悪用
マルウェアを即座にインストールする代わりに、攻撃者は「living off the land」として知られるステルス技術を展開します。ここでは、正当なソフトウェアツールを検出を回避するために使用します。
このキャンペーンでは、初期スクリプトが、開発者によって広く使用されている最新のJavaScriptランタイムであるDenoをダウンロードしてインストールします。Denoは有効なデジタル署名を持つ正当なソフトウェアであるため、ほとんどのアンチウイルスおよびエンドポイント保護システムはそれを信頼できるものとして扱います。
研究者によると、これは攻撃者がDenoランタイムを武器化して悪意のあるJavaScriptを実行した最初の既知のインスタンスです。
信頼できるDenoプロセス内で難読化されたスクリプトを実行することにより、攻撃者は昇格されたシステムアクセスを獲得しながら、従来のセキュリティツールにはほぼ見えません。
攻撃の次の段階は、ステガノグラフィを含む高度なステルス技術を導入します。Denoスクリプトは、「Petuhon」という名前の正当なコンポーネントに偽装された携帯用Python環境と、CFBAT.jpgというファイルをダウンロードします。
無害な画像のように見えますが、JPEGは実際に暗号化されたマルウェアペイロードを含んでいます。
PyArmorで保護された非常に難読化されたPythonスクリプトは、画像を読み取り、隠されたコードを抽出し、マルウェアをシステムメモリに直接注入します。
reflective PE loadingとして知られるこのプロセスにより、マルウェアはディスク上に検出可能な実行可能ファイルを作成することなくメモリ内で完全に実行され、従来のアンチウイルスエンジンが識別するのが極めて難しくなります。
CastleRATが制御を取得
メモリにロードされると、CastleRATは感染システムの完全な制御を確立します。マルウェアは、コンピューター名、ユーザー名、マシンGUID、製品名、および公開IPアドレスを含む詳細なホスト情報を収集します。
この情報は、23.94.145.120などのコマンドアンドコントロール(C2)サーバーに送信されます。
マルウェアはまた、広範な監視とデータ盗難機能を有効にします。Windows SetWindowsHookEx APIを使用してキーストロークを記録し、クリップボードデータを監視してパスワードと暗号通貨アドレスをキャプチャし、ブラウザーCookie、保存された認証情報、および暗号ウォレットファイルを盗みます。
CastleRATはさらに、Telegram DesktopやDiscordなどのプラットフォームからのアプリケーションセッショントークン、および開発者SSHキーをターゲットにします。
また、Windows Media APIを使用してWebカメラとマイクを起動して、秘密の音声およびビデオ監視を実施することもできます。
長期的なアクセスを維持するために、CastleRATはプロセス間通信パイプを使用して隠されたバックドアシェルを作成します。これにより、攻撃者は目に見えるコンソールウィンドウを表示することなく、侵害されたシステムをリモートで制御できます。
マルウェアはまた、PowerShellを通じてスケジュールされたタスクを作成することによって永続性を確立し、「VirtualSmokestGuy666」などの誤解を招く名前を使用することがよくあります。
このタスクは、システムの再起動後に難読化されたPythonローダーを再起動し、マルウェアがメモリ内で動作し続けることを保証します。
研究者は、CastleRATキャンペーンが攻撃者がよりステルスで、ファイルレスの攻撃方法にシフトしている方法を強調していることを警告しています。
正当な開発ツール、ステガノグラフィ、およびメモリ内実行を組み合わせることで、攻撃者は多くの従来の検出メカニズムを正常にバイパスします。
セキュリティエキスパートは、Denoインスタンスがメモリインジェクションを実行するなどの異常なプロセスアクティビティを検出できる動作ベースのエンドポイント監視を展開することを推奨しています。
ThreatDownなどのソリューションは、これらの動作を識別し、攻撃者が機密データを盗む前に、Trojan.CastleLoaderとTrojan.CastleRATを含む関連マルウェアコンポーネントをブロックできます。
翻訳元: https://gbhackers.com/castlerat-attack/
