新しいファイルレスマルウェアキャンペーンが、サイバー犯罪者がいかに隠蔽行動を維持するために方法を変えているかを示しています。
セキュリティ研究者は、JavaScriptとPowerShellおよびプロセスホローイングを使用して、感染したシステムに明らかなトレースを残さないようにする多段階Remcos RAT攻撃を追跡しました。
メインマルウェアファイルをディスクにドロップする代わりに、攻撃者はアクティビティの大部分をメモリに保持し、従来のセキュリティツールによる検出をはるかに難しくしています。
攻撃は、通常のビジネスメッセージに偽装したフィッシングメールで始まります。観察された事例では、メールは見積もり依頼(RFQ)テーマを使用して被害者をアーカイブ添付ファイルを開くように騙していました。
そのアーカイブの内部には、ビジネス文書に見えるJavaScriptファイルがありました。開かれると、スクリプトはそれ自体では多くのアクションを実行しませんでした。
その主な役割は、攻撃者が制御するインフラストラクチャに接続し、次のステージを静かにダウンロードすることでした。
ダウンロードされたファイルは、AES暗号化されたPowerShellペイロードでした。このステージは攻撃のメインローダーとして機能しました。
メモリ内でコンテンツを直接復号化し、悪意のあるペイロードをディスクに保存する必要性を回避しました。これにより感染チェーンはより隠蔽的になり、防御者が分析中に収集できたアーティファクト数が減少しました。
復号化後、PowerShellスクリプトは2つの重要なコンポーネントをメモリにロードしました。最初は.NETインジェクタで、2番目は最終的な Remcos RATペイロードでした。
その後インジェクタは、正当なWindowsプロセスaspnet_compiler.exeに対してプロセスホローイングと呼ばれる技術を使用しました。
簡単に言うと、マルウェアは信頼されたプロセスを作成し、そのメモリを空にし、悪意のあるコードに置き換えました。これにより、Remcos RATは正当なWindowsツールの名前の下で実行できるようになりました。
このアプローチは重要です。多くのセキュリティシステムが署名済みまたは周知のWindowsファイルを信頼しているからです。その中の1つの内部に隠れることで、マルウェアは通常のシステムアクティビティに溶け込みます。
アクティブになると、Remcos RATはメモリ内で完全に実行され、長期的な制御の準備を開始します。
また、オペレーティングシステムのバージョン、プロセスアーキテクチャ、特権レベルなどのシステム詳細も収集しました。
このキャンペーンは、コモディティマルウェアがいかに高度になっているかを示しています。ファイルレス実行、スクリプト悪用、メモリのみのペイロードは現在一般的な戦術です。防御者にとって、それは基本的なファイルスキャンはもはや十分ではないことを意味します。
組織は、これらの攻撃が完全なリモートアクセス侵害に変わる前に検出するために、スクリプト実行、メモリ動作、プロセスインジェクション、および疑わしいアウトバウンド接続をより適切に可視化する必要があります。
翻訳元: https://cyberpress.org/remcos-hides-behind-scripts/