SnappyClientと呼ばれる強力な新しいC2インプラントは、遠隔アクセス、認証情報の窃盗、ステルス回避を単一のモジュール型フレームワークにブレンドし、Windowsシステムと暗号資産ユーザーをターゲットとしています。
ThreatLabzは2025年12月にSnappyClientを最初に観測し、よく知られたHijackLoaderマルウェアファミリーを介してデプロイされていました。
SnappyClientはC++で記述されており、柔軟なコマンド・アンド・コントロールインプラントとして機能し、スクリーンショット、キーロギング、リモートシェルアクセス、ブラウザ、拡張機能、デスクトップアプリケーションからの大規模データ窃盗などの機能をサポートしています。
研究者が文書化した主要なキャンペーンでは、攻撃者はドイツのTelefónicaのO2ブランドを装ったフィッシングウェブサイトを使用してHijackLoaderの実行可能ファイルを自動的に配信し、その後SnappyClientを復号化してメモリにロードしました。
Zscaler ThreatLabzはSnappyClientとして追跡する新しいコマンド・アンド・コントロール(C2)フレームワークインプラントを特定しており、これはHijackLoaderを使用して配信されました。
その後、GhostPulse/HijackLoaderの侵害に関連する追加の配信チェーンが発見されており、Xで報告されたClickFixの悪用を通じて配布されたアクティビティも含まれています。
回避とコンフィギュレーション設計
SnappyClientは検出に抵抗し、感染したエンドポイント上での永続性を維持するために複数の回避レイヤーを実装しています。
LoadLibraryExWをフックして、amsi.dllが読み込まれたときを検出し、その後AmsiScanBufferとAmsiScanStringに常にAMSI_RESULT_CLEANを返すようにパッチを当て、Antimalware Scan Interfaceによるスクリプトコンテンツスキャンを効果的に無効化します。
プロセスインジェクションとAPI悪用の場合、マルウェアはHeaven’s Gateと64ビットマップコピーのntdllからの直接システムコールに依存し、EDRソリューションによって通常配置されるユーザーモードフックをバイパスできます。
また、トランザクション化されたホローイング、HijackLoaderのロジックを再利用して、ペイロードを信頼できるプロセスに注入し、IElevatorCOMインターフェースを介してChromiumのApp-Bound Encryptionを悪用してAES-256マスターキーを回復し、保護されたブラウザデータを復号化します。
このインプラントには、ID、ファイルレイアウト、実行制御を定義する埋め込みプレーンテキストJSONコンフィギュレーション、マルウェアタグ、ビルドID、デフォルト作業ディレクトリ、暗号化されたデータベースのファイル名、ミューテックス名、スケジュール済みタスクまたはautorunレジストリキーを介したオプションの永続化設定が含まれています。
コンピューター名とユーザー名から派生した名前を持つ共有メモリオブジェクトを使用して単一インスタンス実行を強制でき、「禁止デバイス」メカニズムをサポートしています。特定のハッシュベースのマーカーファイルが「TRUE」に復号化される場合、マルウェアは終了してそのホストを回避します。
埋め込みコンフィギュレーションを超えて、C2はChaCha20で暗号化されたマルチストリームコンテナ(カスタムヘッダー付き)を使用して2つの追加の暗号化コンフィギュレーションファイル、EventsDBとSoftwareDBをプッシュします。これらは条件付きアクション(それぞれ)と窃盗用ソフトウェアターゲットを定義します。
SnappyClientは、制御チャネルとデータチャネルの両方を完全にChaCha20-Poly1305で保護するカスタムTCPプロトコルを使用します。
接続後、C2は対称キー、ノンス、制御セッションIDを含む初期パケットを送信します。クライアントはこのキーの知識を証明し、ヘッダーと本体の両方が暗号化された圧縮JSON メッセージを交換します。Snappy圧縮とサイズとタグ処理を示すフレーミングヘッダーが付きます。
Snappy、ChaCha20-Poly1305、SHA-1、SHA-256、修正されたRIPEMD-160、Base58、インメモリの7-Zip抽出を組み合わせた、個別の高度に難読化された復号化ルーチンは、C2 IPのリストと制御(p)およびデータ(dp)セッションに使用されるポートを復元するために使用されます。
登録後、SnappyClientはホスト名、ユーザー名、OSバージョン、アップタイム、最後の入力時刻、RAMとCPUの詳細、マルウェアバージョン、ポート、システムID、インストール済みのAV製品、モニタレイアウト、現在のEventsDBとSoftwareDBコンテンツを要約するハッシュを含む豊富な被害者プロファイルをC2に送信します。
その後C2は、スクリーンショット取得、プロセス列挙と制御、ファイルブラウジングとアーカイビング、キーロガー流出、ChromiumおよびMozillaブラウザからのパスワードとクッキーの盗難、フルブラウザプロフィールのクローン、拡張機能と暗号資産ウォレットのターゲット化、正規表現フィルターを使用した任意のアプリケーションデータの取得、バイナリまたはDLL実行(オプションのCMSTPLUAベースのUACバイパス付き)、非表示VNCセッションの生成、リモートシェル、リバースFTP、VNC、RLOGIN、またはSOCKS5プロキシのセットアップをカバーする幅広いコマンドを発行できます。
SnappyClientのAPI構造はHijackLoaderのものとほぼ一致しており、ほぼ1対1のマッピングがあります。また、SnappyClientが使用しないAPIのためのプレースホルダー(空)DWORD値も含まれています。
追加コマンドは、コンフィギュレーション更新の同期、クリップボード操作と検索タスク、データセッションの管理、さらには画面上のメッセージボックスまたは埋め込みブラウザウィンドウの作成までを行い、オペレータに細粒度のリモート制御を提供します。
感染後の目標と脅威の見通し
SnappyClientのトラフィックとコンフィギュレーションを復号化することで、ThreatLabzはオペレーターが主に経済的動機を持っており、暗号資産窃盗に強く焦点を当てていると結論付けました。
EventsDBエントリは、クリップボードコンテンツがEthereumウォレット正規表現と一致する場合、またはウィンドウタイトルがBinance、Coinbase、Exodus、Atomic Walletなどの一般的な暗号プラットフォームを参照する場合にスクリーンショットをトリガーするようにマルウェアに指示し、被害者の暗号資産アクティビティに関する高価値情報を提供します。
SoftwareDBは、ChromiumおよびFirefoxベースのブラウザ、暗号ブラウザ拡張機能、Metamask、Phantom、Atomic、Electrum、Ledger Live、Trezor Suiteなどの専用ウォレットまたは暗号管理アプリケーションなど、広範なセットをターゲットとし、被害者の暗号資産エコシステム全体での認証情報の盗難、クッキーの盗難、フルプロフィール流出を可能にします。
コードレベルの重複、共有API構造、syscallマッピングロジック、トランザクション化されたホローイング実装、およびHijackLoaderの配信ベクトルとしての独占的な使用により、HijackLoaderと新しいSnappyClient C2フレームワークの開発者間のおそらくの関係が示唆されます。
このレベルのモジュール化、ステルス、暗号資産に焦点を当てたターゲット化を考えると、組織はSnappyClientを高度な電子犯罪プラットフォームとして扱い、ローダー検出、AMSI整合性、プロセスインジェクション動作、および暗号資産ワークフローに関連した異常なブラウザおよびクリップボードアクティビティ周辺の防御を強化する必要があります。
IOC
| SHA256 | 説明 |
|---|---|
| 61e103db36ebb57770443d9249b5024ee0ae4c54d17fe10c1d44e87e2fc5ee99 | SnappyClient v0.1.11 |
| 23e2a0c25c95eebe1a593b27ac1b81a73b23ddad7617b3b11c69a89c3d49812e | SnappyClient v0.1.9 |
| 00019221fb0b61b769d4168664f11c1258e4d61659bd3ffecb126eaf92dbfe2f | SnappyClient v0.1.8 |
| 6e360fca0b1e3021908f8de271d80620d634600955fefc9fd0af40557cd517d7 | SnappyClient v0.1.7 |
| 64a2609d6707a2ebfe5b40f5227d0f9b85911b752cd04f830d1bbc8aa6bec2c8 | SnappyClient v0.1.5 |
