難読化Visual Basic Script(VBS)ファイル、ファイルレスPowerShellローダー、およびPNG画像に隠されたペイロードを活用した、複雑で多段階の配信フレームワーク。
この活動は、LevelBlueのManaged Detection and Response(MDR)SOCによって、SentinelOneアラートを通じて疑わしいVBSファイルが関与する事件として最初に検出されました。
Name_File.vbsとして識別されたこのファイルはパブリックダウンロードディレクトリに配置されており、実行前にブロックされました。抑制に成功したにもかかわらず、より深い分析により、モジュラーローダーと再利用可能な攻撃者インフラストラクチャを含む、はるかに複雑な操作が明らかになりました。
トリアージ中、アナリストはそのファイルハッシュについての事前の評判を見つけられず、歴史的テレメトリにも関連する活動がないことから、孤立したイベントであることが示唆されました。
しかし、SentinelOneテレメトリにより、スクリプトがBase64エンコードされたPowerShellコマンドを含んでいることが明らかになり、さらなる調査が行われました。
LevelBlue SpiderLabsは、SentinelOne検出を通じてLevelBlueのMDR SOCから最初に特定された多段階マルウェア配信キャンペーンの調査を開始しました。
VBSファイルをデコードすると、主に難読化されたランチャーとして機能していることが示されました。Unicode ベースの重い難読化がそのロジックを隠し、最終的には実行時に隠されたPowerShellペイロードを再構成して実行していました。
ファイルレスローダーとPNGペイロード
デコードされたPowerShellスクリプトは、ファイルレスローダーとして機能しました。TLS 1.2接続を強制し、Net WebClientクラスを使用してリモートコンテンツを取得しました。従来の実行可能ファイルをダウンロードするのではなく、スクリプトはリモートサーバーからPNG画像を取得しました。
PNG ファイル内で、研究者は「BaseStart」と「BaseEnd」カスタムタグでマークされた埋め込みBase64エンコードデータを発見しました。
このデータには、デコードされリフレクションを使用してメモリ内で直接実行される.NETアセンブリが含まれていました。これはコンテナー化された技術で、一般的にはPhantomVAIローダーに関連付けられています。
このアプローチにより、マルウェアはディスクへのファイル書き込みを回避でき、従来のセキュリティツールによる検出を大幅に削減できました。
このディレクトリ内のアーティファクトには、バッチスクリプト(44rrr.bat)とPDFになりすましている圧縮アーカイブ(Invoice-JL1852586778.pdf.zip)が含まれていました。
実行されると、メモリ内ローダーは攻撃者が制御するインフラストラクチャから追加ペイロードを取得しました。
1つの難読化されたURLは、最終的にRemcos RATをデプロイするエンコードされたデータを含むテキストファイルに解決されました。Remcos RATはよく知られたリモートアクセストロイの木馬です。別のペイロードには、権限をエスカレートするためのUACバイパスDLLが含まれていました。
実行チェーンは、明確な役割分担を示していました。VBSはエントリーポイントとして機能し、PowerShellは配信を処理し、.NETローダーはペイロード実行と永続性を管理しました。
オープンディレクトリインフラストラクチャ
さらなる調査により、攻撃は/coupon/、/protector/、/invoice/などの複数のアクセス可能なパスを持つドメインでホストされているオープンディレクトリアーキテクチャによってサポートされていることが明らかになりました。
これらのディレクトリには、XWormおよび他のRAT変種を含む、異なるマルウェアペイロードにマップされた多数の難読化VBSファイルが含まれていました。この構造により、攻撃者は同じローダーフレームワークを再利用しながら、必要に応じてペイロードを交換することができました。
特に、/invoice/ディレクトリは、偽造PDFファイルを含む別の感染ベクトルを明かしていました。これはZIPアーカイブとして配布されました。
二次チェーンには、UTF-16LEでエンコードされたバッチスクリプトが含まれており、隠しモードで実行され、より多くのペイロードを取得するためのアウトバウンド接続を開始しました。分析により、Pythonベースのマルウェア、Kramerファミリーにリンクされたコンポーネントを含むデプロイメントが示されました。
これらのスクリプトはメモリインジェクション、シェルコード実行、およびさらなるペイロードステージングを実行し、「MainRingtones」などの欺瞞的に命名されたディレクトリを使用して疑いを回避することがよくありました。
ファイルには、被害者を攻撃者が制御するCloudflareインフラストラクチャにリダイレクトする悪意あるインターネットショートカットが含まれており、追加ダウンロードと実行を引き起こしていました。
研究者は、このキャンペーンが単一の攻撃ではなく、スケーラブルで再利用可能なマルウェアフレームワークを表していると結論付けました。オープンディレクトリ、ファイルレス技術、および多言語ペイロードの使用は、柔軟性と回避の両方を増加させます。
キャンペーンは、攻撃者がスクリプティング、クラウドホスティング、および非従来的なファイル形式を組み合わせて防御をバイパスしながら、急速なペイロード回転機能を維持する方法をハイライトしています。
このような脅威を軽減するために、組織はVBSやBATファイルなどのスクリプトの実行、特にユーザーが書き込み可能な場所からを制限する必要があります。PowerShell活動とメモリ内実行の監視が重要であり、疑わしいドメインのブロックとWebDAVトラフィックの制限も同様に必要です。
LevelBlueはその後、同様のVBSローダー、PNGベースのペイロードステージング、および関連インフラストラクチャをターゲットとするカスタム検出をデプロイし、この進化する脅威モデルに対する防御を強化しました。
翻訳元: https://gbhackers.com/open-directory-malware/
