TokyoBlackHatNews

gbhackers.com 4分で読了

偽のFileZillaダウンロードが隠密マルチステージローダーでRATを拡散

偽のFileZillaダウンロードが隠密なマルチステージローダーを通じてリモートアクセストロイの木馬(RAT)を配信するために使用されており、不注意なダウンローダーは高い危険にさらされています。

攻撃者は正規のFileZillaダウンロードページの外観とレイアウトをよく模倣した偽のウェブサイトをセットアップしており、ロゴ、ボタン、バージョン情報を含めています。

「FileZillaダウンロード」を検索してスポンサー広告または悪意のあるリンクをクリックした無防備なユーザーは、公式プロジェクトサイトではなくこのクローンページにたどり着く可能性があります。

このサイトは通常のFileZillaインストーラのように見えるものを提供していますが、パッケージは追加の悪意のあるDLLで武装しています。インターフェースとインストーラメタデータは本物に見えるため、多くのユーザーは疑いなく続行してファイルを実行します。

分析によると、2つの主要な配布形式があります:ポータブルFileZillaビルドと悪意のあるDLLを含む圧縮アーカイブ、および正規インストーラと不正なライブラリがバンドルされた単一実行可能ファイルです。

Image

レポートによると、このDLLサイドローディング技術により、攻撃者はソフトウェアの脆弱性を悪用することなく信頼されたバイナリに便乗できます。被害者にとって、FileZillaは正常にインストールおよび機能するように見え、ローダーのバックグラウンド実行を隠します。

マルチステージローダーおよびDoH C2

埋め込まれたDLLは最初段階のローダーとして機能し、最終的なRATペイロードが実行されるまで、連続的なローダーステージを完全にメモリ内で復号化して起動します。

各ステージは回避と分析対策に焦点を当てており、仮想マシン、サンドボックスツール、特定のVMwareプロセスとドライバーのチェックを含めてから続行します。

ユーザーがインストーラまたは実行可能ファイルを実行すると、Windowsのディレクトリサーチオーダーが悪用されて、悪意のあるDLL(version.dllなど)が正規のライブラリの前にロードされます。

Image

コマンドアンドコントロールのため、マルウェアはCloudflareのリゾルバーへのDNS over HTTPS(DoH)リクエストを活用してC2ドメインのIPアドレスを取得し、通常の暗号化されたウェブトラフィックに溶け込んで従来のDNSモニタリングをバイパスします。

このアーキテクチャは、ネットワークベースの検出を大幅に困難にします。特にCloudflareおよび他の大規模なDoHプロバイダーを既に信頼している環境では。

完全に展開されると、RATはブラウザからの認証情報盗聴、キーログ、スクリーンキャプチャ、および非表示のデスクトップセッションを通じた完全なリモートコントロールをサポートします。

収集されたデータとタスキングはC2インフラストラクチャを通じてルーティングされ、攻撃者が追加のマルウェアをダウンロード、横方向に移動、または機密情報を時間をかけて静かに流出させることができます。

正規のFileZillaインストーラと悪意のあるDLLを組み合わせた単一実行可能ファイル。

Image

C2トラフィックで観察されたJSONパラメータ(一貫したutm_tagおよびreferrer値を含む)は、オペレータが ad-hoc キャンペーンを実行するのではなく、感染パスと被害者セグメントを体系的に追跡していることを示しています。

キャンペーンはソフトウェアバグの悪用の代わりに、主にソーシャルエンジニアリングとトラフィックリダイレクションに依存しており、FileZillaのような「馴染みの」ツールへのユーザーの信頼がどのように武装化されているかを強調します。

ユーザーと組織のための実践的な防御

露出を減らすために、ユーザーは検索広告またはサードパーティミラーからではなく、公式プロジェクトドメインからのみFileZillaおよび他の一般的なツールをダウンロードすべきです。

セキュリティチームは、アプリケーション制御を厳格化し、不正なインストーラをブロック、および正規実行可能ファイルの隣に配置された疑わしいDLLを監視すべきです。

ネットワークディフェンダーはDoHトラフィックを検査してログし、外部リゾルバーを制限するDNSポリシーを適用し、新しく登録されたまたは低レピュテーションのインフラストラクチャに関連するドメインへの異常なアウトバウンドHTTPSパターンについてアラートできます。

最後に、このキャンペーンがVMwareベースのセットアップを積極的にチェックし、分析指標が検出されたときに動作を変更または休止状態のままである可能性があるため、サンドボックスと分析環境は強化および多様化されるべきです。

翻訳元: https://gbhackers.com/fake-filezilla-downloads/

ソース: gbhackers.com
#C2通信 #DLLサイドローディング #DNS over HTTPS #FileZilla #RAT #ソーシャルエンジニアリング #トロイの木馬 #マルウェア #ローダー #検出回避

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚