LeakNetは、大量市場向けのClickFixルアーと、メモリ内でほぼ完全に実行される隠蔽性の高いDenoベースのローダーを組み合わせることで、ランサムウェア操作を拡大しており、防御者が介入できる時間枠を狭めています。
ランサムウェアオペレーターのLeakNetは現在、平均して月あたり約3人の被害者を出しています。しかし、最近の活動は、その数を増やすために独自の配信・実行インフラに投資しているグループを示しています。
LeakNetは、すぐに使える足がかりを提供するため、初期アクセスブローカーに主に依存するのではなく、現在は自らのキャンペーンを実行しており、侵害された正当なウェブサイトでホストされているClickFixルアーを使用し、その後、正当な開発者ツールのように振る舞いながらメモリ内で悪意あるコードを実行するDenoベースのローダーを続けています。
LeakNetに関連する調査では、アナリストは2つの一貫した革新を観察しました。第1に、ユーザーがmsiexecコマンドを手動で実行するよう騙すClickFixプロンプト。第2に、正当なDenoバイナリがbase64エンコードされたペイロードをデコードして実行するBYOR(Bring-Your-Own-Runtime)パターン。これにより、従来のマルウェアファイルをディスクにドロップします。
どちらのパスも同じ侵害後の行動パターンにつながり、初期感染ベクトルが変わっても防御者が検出できる予測可能な一連の動作を提供します。
ClickFix:LeakNetの新しい入口
ClickFixは、偽のエラーメッセージと検証ページを悪用して、ユーザーを騙し、攻撃者が提供するコマンドを実行させるソーシャルエンジニアリング技術です。多くの場合、Windows実行ダイアログ(Win+R)または同様のエントリーポイントを経由します。
LeakNetは、侵害された正当なウェブサイトを通じてこれらのルアーを配信します。例えば、偽のCloudflare Turnstile検証ページは、ユーザーに攻撃者が管理するインフラストラクチャを指すmsiexecコマンドを実行するよう指示します。その後、グループのローダーがダウンロードされて実行されます。
ルアーは信頼されているサイト上に存在し、明らかに悪意のあるドメインまたはターゲット絞られたスピアフィッシングに依存しないため、ウェブを閲覧している一般的な従業員は、誰でも明確なターゲットプロファイルや防御者への早期警告信号がない状態で、エントリーポイントになる可能性があります。
IABソースの認証情報への独占的な依存から離れた、この転換は、LeakNetの被害者1人あたりの獲得コストを低下させ、アクセスが販売されるのを待つというボトルネックを除去し、他の脅威アクターによってキュレーションされたリストを超えて、潜在的な被害者プールを拡大します。
被害者が初期コマンドを実行すると、LeakNetはしばしば、base64エンコードされたJavaScriptまたはTypeScriptをdata: URLを介してメモリ内で直接実行するDenoベースのローダーにピボットします。ディスク上には最小限のアーティファクトを残します。
観察された事件では、ローダーチェーンはVBSおよびPowerShellスクリプトによってキックオフされました。Romeo*.ps1およびJuliet*.vbsなどのおとり名が付けられており、正当なスクリプティングまたはトラブルシューティング活動の外観を強化します。
Denoプロセスは、ユーザー名、ホスト名、メモリ、OSバージョンなどの基本的なホスト詳細を収集し、それらをハッシュして一意の被害者識別子に変換し、攻撃者が管理するインフラストラクチャをチェックしてC2エンドポイントを選択し、追加のコードを繰り返し取得して実行するポーリングループに入ります。
Denoは署名され広く使用されているランタイムであるため、シンプルな許可リストをバイパスできます。つまり、疑わしい要素はバイナリ自体ではなく、そのコンテキストです。通常と異なるコマンドライン引数、開発環境外での実行、予期しない親プロセス、および持続的なアウトバウンドC2トラフィック。
LeakNetの侵害後の行動パターン内部
初期アクセスが進化しているにもかかわらず、LeakNetの侵害後の動作は非常に一貫しており、これにより複数の事件全体で検出機会を作り出します。
グループは、トロイの木馬化されたjli.dllを正当なJavaバイナリの横に配置することでDLLサイドローディングを開始します。C:\ProgramData\USOSharedに配置され、悪意のあるライブラリは通常のJavaおよびWindows Update関連の活動の一部として表示されます。
実行を確立した後、LeakNetは繰り返し可能なURLパターンを使用したコマンドアンドコントロールにシフトし、その後、最初に「cmd.exe /c klist」を実行してアクティブなKerberosチケットを列挙し、到達可能なアカウントを識別した後、PsExecを使用した横方向の移動にピボットします。
ステージングと流出のために、オペレーターはS3バケットインフラストラクチャを使用します。これは通常のクラウドトラフィックに混合し、悪意のある転送をエンタープライズ環境で防御者が見ると予想されるサービスの背後にマスクします。
LeakNetは信頼されたバイナリ、クラウドサービス、および侵害されたウェブサイトに依存しているため、防御者はシグネチャのみの検出を超えて移動し、チェーン全体の動作信号に焦点を当てる必要があります。
組織は、可能な場合は新しく登録されたドメインをブロックするポリシーを実施し、通常のユーザーがWin-RまたはPsExecを呼び出すことを防止し、これらのコントロールと自動応答プレイブックをペアリングすることで、さらにリスクを軽減できます。
IOCs
| アーティファクト | 詳細 | アーティファクト | 詳細 |
|---|---|---|---|
| tools.usersway[.]net | 侵害されたウェブサイト上のClickfixドメイン | okobojirent[.]com | Deno C2ドメイン |
| apiclofront[.]com | Clickfixドメイン | mshealthmetrics[.]com | Deno C2ドメイン |
| sendtokenscf[.]com | Clickfixドメイン | verify-safeguard[.]top | Deno C2ドメイン |
| binclloudapp[.]com | Clickfixドメイン | 194.31.223[.]42 | Deno C2 IPアドレス |
| neremedysoft[.]com | サイドロードされたjli.dll C2ドメイン | 144.31.2[.]161 | Deno C2 IPアドレス |
| ndibstersoft[.]com | サイドロードされたjli.dll C2ドメイン | 87.121.79[.]6 | Deno C2 IPアドレス |
| windowallclean[.]com | サイドロードされたjli.dll C2ドメイン | 87.121.79[.]25 | Deno C2 IPアドレス |
| cnoocim[.]com | Deno C2ドメイン | 144.31.54[.]243 | Deno C2 IPアドレス |
| delhedghogeggs[.]com | Deno C2ドメイン | 144.31.224[.]98 | Deno C2 IPアドレス |
| serialmenot[.]com | Deno C2ドメイン | fastdlvrss.s3.us-east-1.amazonaws[.]com | 悪意のあるS3バケット |
| crahdhduf[.]com | Deno C2ドメイン | backupdailyawss.s3.us-east-1.amazonaws[.]com | 悪意のあるS3バケット |
翻訳元: https://gbhackers.com/leaknet-boosts-ransomware/
