革新的なサイバーセキュリティケースで、ThreatDownリサーチは最近、CastleRAT攻撃におけるDenoJavaScriptランタイムの初めての記録された使用を発見しました。
この高度な攻撃チェーンは従来のセキュリティ対策をバイパスし、サイバー犯罪技術における大きな飛躍を示しています。
このキャンペーンは、人気のある信頼できるランタイム環境であるDenoを独特に悪用して、スパイ活動とデータ盗難に使用される強力なリモートアクセスツールであるCastleRATを実行しています。
この攻撃は、現代のマルウェアキャンペーンがいかに創意的で忍び込み型になったかを示しており、攻撃者は検出を避けるために大きな努力を払っています。
攻撃は、ClickFixと呼ばれるシンプルかつ効果的なソーシャルエンジニアリング戦術で始まります。その中で、被害者はブラウザエラーまたはCAPTCHAを「修正する」ためにWindowsターミナルにコマンドを貼り付けるようにだまされます。
従来のWebセキュリティ対策をバイパスすることで、攻撃者はユーザーに悪意のあるインストーラーを静かにダウンロードするコマンドを実行させます。このアプローチは人間のエラーを巧妙に利用し、防止をより難しくして成功する可能性を高めます。
攻撃者がシステムへのアクセスを取得すると、マルウェアをすぐに展開する代わりに、まず合法的で信頼できるランタイムであるDenoをインストールします。
アンチウイルスソフトウェアは、デジタル署名のためにDenoを無視するように通常設定されており、そのインストールをフラグしません。
これは次のステップの舞台を設定します:攻撃者はTrojanホースとしてDenoを使用して、難読化されたJavaScriptを実行します。
Denoは信頼できるプロセスであるため、マルウェアは昇格された権限で実行され、従来の検出メカニズムを効果的にバイパスします。
Denoランタイムが確立された後、攻撃者はさらに彼らの活動を隠します。Denoによって実行されるJavaScriptコードは、Petuhonとして巧妙に偽装されたPython環境とJPEG画像(CFBAT.jpg)をダウンロードします。
画像は無害に見えますが、実際には暗号化されたCastleRATペイロードが含まれています。PyArmorで保護されたPythonスクリプトは、反射型PEローディングとして知られている技術を使用してペイロードをメモリに直接デコードします。これはマルウェアがディスクに触れないことを意味します。
この方法はファイルスキャンアンチウイルスエンジンを回避し、従来のセキュリティツールにはほぼ見えないようにします。
これは、このデータをコマンドアンドコントロール(C2)サーバーに送信します。マルウェアはまた、キーロギング、クリップボード乗っ取り、データ流出を実行するために低レベルのWindowsAPIを使用し、暗号通貨ウォレットファイル、閲覧履歴、開発者認証情報などの機密情報をターゲットとします。
この革新的な攻撃は、従来の方法を超えた進化するセキュリティ戦略の必要性を強調し、静的防御のみに依存するのではなく、疑わしい動作の検出と対応に焦点を当てています。
翻訳元: https://cyberpress.org/castlerat-uses-deno-evasion/