XWormキャンペーンはファイルレスマルウェアとメモリ内回避戦術へのシフトを示す

新たに明らかになった多段階の脅威キャンペーンでは、攻撃者がディスクへの書き込みを回避し、メモリ内のトリックを利用してXWormリモートアクセス型トロイの木馬（RAT）を配信していることが確認されました。

Forcepoint Labsの調査によると、このキャンペーンは暗号化されたシェルコードを使用して.NETドロッパーを実行し、複数のメモリ内DLLをリフレクティブにロードします。最初の誘導には、ネイティブオブジェクトリンクおよび埋め込み（OLE）ストリームを埋め込んだOfficeの.xlam添付ファイルが使われ、悪意のあるコードが展開されます。

「このキャンペーンはフィッシングメールによって配信され、偽の請求書が誘導に使われています」とForcepointのセキュリティリサーチャー、Prashant Kumar氏はブログ記事で述べています。「悪意のあるドキュメント（.xlam添付ファイル）には、埋め込みシェルコードを隠す『oleObject1.bin』ファイルが含まれています。」

ターゲット上で隠れ、移動し、持続するよう設計されたXWorm RATは、正規のWindows APIを悪用してダウンローダーを取得・実行し、APIハッシュ化、「アンフック」コール、大量の難読化や暗号化など、階層化された解析回避技術を組み合わせて展開されました。

多段階攻撃がスプレッドシート内にRATを隠す

その.NET実行ファイルはバイト配列を展開し、ステガノグラフィ画像リソースを使って第2段階のDLLをメモリにロードします。さらにそれが第3段階モジュール、すなわちXWorm RAT本体をリフレクティブに注入します。各段階はメモリ内でロードまたは実行され、ディスク上の痕跡を最小限に抑え、検知を困難にしています。

XWormの発見は、攻撃者が従来の検知を回避するためにファイルレス配信手法をますます好むようになっているサイバー攻撃戦略の大きな変化の一部です。最近では、PowerShellベースのローダーを使ってRemcos RATを完全にメモリ内で展開するキャンペーンも報告されています。

サンドボックスやスキャナーの回避

攻撃者はチェーン全体を通じて、意図を隠すAPIハッシュ化、セキュリティソフトがインストールするユーザーモードフックを回避するAPIコール、.NET DLL内部の多層暗号化など、よく知られた回避技術を利用していました。

「このDLLファイルは、RSACryptor、Virtualization、Fake.cctorなど、解析を困難にする複数の暗号化技術を使用しています」とKumar氏は指摘しています。

Forcepointの分析によると、マルウェアサンプルは「UrlDownloadToFile」や「LoadLibraryW」といったAPIコールを使い、従来のスキャナーを回避するためにメモリから直接コードを実行していました。さらに、リソースに埋め込まれたステガノグラフィペイロードの利用も確認されており、これは.NETでよく使われる、無害に見えるバイナリにバイト列を密輸するトリックです。

XWormのようなキャンペーンから身を守るための推奨対策としては、異常なOffice添付ファイル形式（特にOLEネイティブストリームを持つ.xlam）の監視、UrlMon/UrlDownloadToFileを呼び出した後にメモリ内で動作するプロセスの検査、リフレクティブDLLインジェクションや「アンフック」呼び出しパターンを検知するランタイムメモリスキャンやEDRルールの導入などが挙げられます。ブログには検知設定用の侵害指標（IoC）リストも掲載されています。今月初めには、オープンソースのアップグレードを受けたファイルレスマルウェアとして、PowerShellコマンドで.NETペイロードをメモリ内に取得・組み立てるAsyncRATが報告されました。