新たに特定された「Kiss Loader」と呼ばれるマルウェアローダーが、高度なプロセスインジェクション技術と動的配信インフラストラクチャを活用した潜在的な脅威として浮上しています。
発見時点ではまだ開発中のこのローダーは、ステルス性、モジュール式ステージング、実験的な実装のブレンドを示しており、より成熟した攻撃ツールへと進化する可能性があることを示唆しています。
実行時に、このファイルはTryCloudflareトンネルを介してホストされるリモートWebDAVリソースに接続します。このサービスにより、攻撃者は専用インフラストラクチャなしでローカルサーバを露出させることができ、柔軟かつ頻繁に更新されるペイロード配信が可能になります。
サンプルの分析では、構造化されたマルチステージ実行フローが明らかになっています。感染はPDFドキュメントに偽装したWindows Internet Shortcutファイルで始まります。
露出されたWebDAVディレクトリ内では、セカンダリショートカットファイルがさらなる実行をトリガーします。これはWindows Script Host(WSH)プロセスにつながり、JScriptコンポーネントにチェーンされます。
このレイヤード実行アプローチは、攻撃の後期ステージを難読化し、即座の検出を減らすのに役立ちます。
Kiss Loaderマルウェア
JScriptステージは次のフェーズを調整するバッチスクリプトを取得します。このスクリプトは、被害者に対する誘導PDFの表示、Windowsスタートアップフォルダを介した永続性の確立、追加のペイロードコンポーネントのダウンロードなど、複数の機能を実行します。
露出されたWebDAVディレクトリはアクセス制限が欠けていたため、その内容を直接列挙および取得することができました。
これらのコンポーネントの中には、「Kiss Loader」として特定されたPythonベースのローダーがあります。このローダーはJSON設定ファイルを使用して復号化キーを取得し、ペイロードが実行時まで暗号化されたままであることを確保します。この設計は静的分析を複雑にし、回避を強化します。
復号化されたペイロードには、VenomRATまたはAsyncRATに似たバリアント、および.NET Reactor保護されたユーティリティが含まれています。
実行に使用されるシェルコードはDonutを介して生成されます。Donutは.NETアセンブリのメモリ内実行用に設計されたツールです。
実行の最終ステージは、Early Bird APCインジェクションに依存しており、これはステルスフルなプロセスインジェクション技術です。ローダーはexplorer.exeなどの正規プロセスを一時停止状態で作成します。その後、プロセス内で実行可能なメモリを割り当て、復号化されたシェルコードを書き込みます。
新しいスレッドを生成するのではなく、マルウェアはプライマリスレッドに非同期プロシージャコール(APC)をキューイングします。
スレッドが再開されると、キューイングされたAPCは通常のプロセス初期化の前に実行され、悪意のあるコードが信頼されたプロセスコンテキストで実行されるようになります。これはステルス性を大幅に向上させ、従来の検出メカニズムをバイパスします。
活発な開発の兆候
Kiss Loaderがまだ開発段階にあることを示唆するいくつかの指標があります。ペイロード配信に使用されたWebDAVリポジトリはパブリックに見ることができ、認証コントロールに欠けており、ホストされたファイルの直接列挙が可能でした。
観察から、ファイルが最近デプロイされたことが示されており、継続中のキャンペーンセットアップを示しています。
さらに、ローダーのコードには、復号化やインジェクションなどのコアルーチンを説明する大量のインラインコメントが含まれています。
テストユーティリティ、ヘルパー関数、詳細なランタイム出力の存在は、マルウェアが能動的にテストおよび改善されていることをさらに支持しています。
制御された分析中に予期しないイベントが発生しました。システムが外部オペレータによってアクティブにアクセスされているように見え、ツールが突然終了され、ユーザー入力なしでカーソル移動が観察されました。
制御された実験では、メモ帳ウィンドウに残されたメッセージは応答を受け取り、脅威アクターとのライブインタラクションを確認しました。
その個人はマルウェア開発を認め、Early Birdインジェクションの使用を確認しました。対話は短いものでしたが、開発プロセスと攻撃者の意図への珍しいリアルタイムの洞察を提供しました。
Kiss Loaderはローダーベースマルウェアの増加する洗練さと、Cloudflareなどの柔軟なインフラストラクチャの増加する使用をハイライトしています。
レイヤード実行、暗号化されたペイロードステージング、高度なインジェクション技術の使用は、将来の脅威としてのその可能性を強調しています。
このケースはまた、マルウェア分析がコードを超えて、サイバー脅威の背後にある人的要素を明かすことができるという注意喚起として機能します。
攻撃者が継続的に実験および適応し続ける中で、厳格な隔離と制御された環境を維持することは、安全で効果的な分析のために引き続き重要です。
IOCs
| 6abd118a0e6f5d67bfe1a79dacc1fd198059d8d66381563678f4e27ecb413fa7 | DKM_DE000922.pdf.url |
| e8f83d67a6b894399fad774ac196c71683de9ddca3cf0441bb95318f5136b553 | oa.wsh |
| 549c1f1998f22e06dde086f70f031dbf5a3481bd3c5370d7605006b6a20b5b0b | ccv.js |
| 6d62b39805529aefe0ac0270a0b805de6686d169348a90866bf47a07acde2284 | gg.bat |
| b4525711eafbd70288a9869825e5bb3045af072b5821cf8fbc89245aba57270a | pol.bat |
| e8dbdab0afac4decce1e4f8e74cc1c1649807f791c29df20ff72701a9086c2a0 | vwo.zip |
| 5cab6bf65f7836371d5c27fbfc20fe10c0c4a11784990ed1a3d2585fa5431ba6 | so.py |
| 20a585c4d153f5f551aaa509c8c1fa289fa6f964fe53f241ef9431a9390b3175 | tv.bin |
| 6a7c3029cd4f7ffe9a24ea5d696e1f612ada91b5a5ca5b28d4972d9c772051fd | t.json |
| 665f44b5a46947ad4fdac34a2dca4cf52b3e7e21cfa3bd0fc3ef10bd901ad651 | ov.bin |
| b3737f621eb2ee6d784a6b9d695b890a5f22ee69e96058c99d9048b479451fbd | a.json |
| 130ca411a3ef6c37dbd0b1746667b1386c3ac3be089c8177bc8bee5896ad2a02 | 復号化ov.bin(VenomRAT) |
| 2b40a8a79b6cf90160450caaad12f9c178707bead32bcc187deb02f71c25c354 | 復号化tv.bin(Kryptik) |
翻訳元: https://gbhackers.com/kiss-loader-malware/
