SonicWallのセキュリティ専門家は、VioletRATマルウェアを配布する新しいキャンペーンを明かにしました。この攻撃は多層的な配信シーケンスと洗練されたPythonベースのコードインジェクションパラダイムを組み合わせています。攻撃者は、システムへの足がかりを確立し、Windowsの防御機構を回避するために、複数段階の秘密のロードとペイロード実行を採用しています。
侵害は圧縮アーカイブを含むメッセージから始まります。その中には深く難読化されたBATファイルがあり、UTF-16LEエンコーディングで保存されています。その結果、標準的なテキストエディタで検査すると、スクリプトは無意味な文字の集まりとして表示されます。このような手法はスクリプトの意図を効果的に隠し、検出される可能性を低減させます。
実行時に、BATファイルはこっそりとPowerShellを起動し、google.comにアクセスして活動を隠します。同時に、スクリプトはクラウドストレージからdid.zipアーカイブを取得し、%USERPROFILE%/Contacts/dadディレクトリに格納します。同時に、補助的なstart.batスクリプトはWindowsスタートアップフォルダに格納され、システムの再起動時に悪意のあるコードの永続的な復活を保証します。
次のフェーズはPythonスクリプトstry.pyの実行を伴います。アーカイブには、nou.bin内の暗号化されたシェルコード、a.txt内の復号化キー、補助的なPythonライブラリスイートなど、いくつかの重要なコンポーネントが含まれています。スクリプトはデータ型、API命名、関数パラメータを入念に装い、内部的には「Advanced Payload Executor」と識別されます。
スクリプトはa.txtからキーをアセンブルし、一連の変換を通じてシェルコードを解放します。キーはまず反転され、その後XOR操作が行われ、その結果の圧縮ブロックはzlib.decompress関数を通じて展開されます。準備が整うと、コードはexplorer.exeプロセスに直接注入され、ResumeThreadおよびWaitForSingleObjectというシステムAPIを通じて実行されます。
シェルコードはその秘密のロードミッションを継続し、ntdll.dllおよびkernel32.dll内の関数アドレスを動的に発見します。セカンダリデータブロックの復号化に進み、oleaut32.dllおよびwininet.dllを含むライブラリのレパートリーを取得します。Antimalware Scan Interface(AMSI)の無効化に専念された段階があります。コードはAmsiScanBufferおよびAmsiScanString関数を容赦なく上書きし、常に「安全」な結果を返すように強制します。
これらの防御機構の破壊に続いて、ローダーはホストプロセス内で直接.NET環境を起動します。CLRホスティングを利用して、ネイティブプロセスは.NET実行環境を管理でき、内部CLRメカニズムを通じて実行可能ファイルを起動するための新しいアプリケーションドメインを作成します。
最終的なペイロードはVioletRATリモートアクセストロージャンです。マルウェア・アズ・ア・サービスモデルで動作し、オペレーターに侵害されたアーキテクチャの絶対的な支配権を与えます。コマンドコンソールはデバイス管理、ネットワークツール、およびWindows Defenderを破壊する能力を含みます。
SonicWallによると、このような新しいローダーアーキテクチャはVioletRATインフラストラクチャの急速に複雑化する複雑さと、Windowsセキュリティプロトコルを回避するためのますます高度な戦略を強調しています。
