偽スクリーンショットでWeb3サポートスタッフを狙った多段階マルウェア攻撃

偽スクリーンショットリンクが、中国の金銭的動機の強いAPT-Q-27（GoldenEyeDog）グループに関連していると評価されるキャンペーンの一部として、Web3カスタマーサポートチームに対して多段階バックドアを静かに配備するために使用されています。

この作戦は、ライブチャットワークフロー、署名された.NETローダー、AWS S3デッドドロップ、およびDLLサイドローディングを悪用して、非標準ポート経由で数十のハードコード化されたコマンド&コントロール（C2）サーバーと通信するメモリ常駐型Farfliバックドアを配置します。

攻撃はサポートチャットで始まり、ユーザーになりすました攻撃者が「Google」のような見た目のURLと写真のようなファイル名を含むスクリーンショットリンクのように見えるものを共有します。

デフォルト設定のWindowsシステムでは、実行可能ファイルの拡張子が隠されているため、実際には.pifプログラムであるにもかかわらず、ファイルは無害に見えます。

ファイルが開かれると、偽のエラー画像が表示されるか、Microsoft Paintで開かれて、リンクが破損しているという印象を与えながら、バックグラウンドで.NETダウンローダーをサイレントに起動します。

1inchとzeroShadowがライブチャット経由でweb3カスタマーサポートチームを狙った活動的なAPT-Q-27キャンペーンを発見しました。

この最初段階のマルウェアは、正当だが悪用された電子認証（EV）証明書で署名され、AWS S3「デッドドロップ」マニフェスト（例：y.txtまたはA.txt）に連絡して、2段階目ペイロードのURLリストを取得します。

ユーザーのAppDataの下に隠されたステージングディレクトリを作成し、Windows Updateキャッシュに偽装して、特徴的な「@27」タグを含め、DLL、実行可能ファイル、ログ、画像のバンドルをそのパスに取得します。

永続化はRunレジストリキー経由で確立され、「SystemUpdats」という名前の偽の値を指しており、マルウェアが再起動時に明らかなユーザープロンプトなしで生き残ることを保証します。

難読化、ステージング、およびサイドローディング

.NETローダー（Feedback.exeおよびphoto2025060268jpg.exeなどのバリアントを含む）は重く難読化されており、意味のあるすべての文字列は実行時にカスタムスキーム経由で復号化され、いくつかの重要な値は二重Base64エンコーディングの背後に隠されています。

デバッグ防止チェック、スタック検査、およびジャンク制御フローは静的分析とサンドボックスを阻止し、柔軟なマニフェスト解析により、オペレーターはバイナリを変更することなくインフラストラクチャを回転させたりURLをエンコードできます。

バイナリはWin32 APIのIsDebuggerPresentを呼び出し、さらにコールスタック検査を実行して、コールスタックを調べてデバッガーコンテキスト内で実行が発生しているかどうかを判断します。

S3デッドドロップが利用できない場合、ローダーは正当なMicrosoft VC++再頒布可能パッケージをダウンロードにフォールバックでき、通常のソフトウェアインストールトラフィックに混在させることができます。

ステージングが完了すると、チェーンは正当なYYプラットフォームバイナリ（updat.exe）をDLLサイドローディングに悪用します。

この署名された実行可能ファイルはvcruntime140.dllおよびmsvcp140.dllをインポートするため、ワーキングディレクトリにドロップされた悪意のある置き換えが実際のランタイムの代わりに読み込まれ、その後crashreport.dllを読み込み、暗号化されたログファイル（yyext.log）をメモリに復号化します。

そのログは実際にはシェルコードを含んでおり、UPXパック化されたPEを解凍し、最終的に32ビットのFarfliバックドアDLLをメモリに完全にアンパックして、ディスク上にスタンドアロンの実装を残しません。

最終的なFarfliステージは37のハードコード化されたC2 IPアドレスのリストを保持し、ローリングXOR文字列暗号化スキームで保護され、TCPポート15628経由で連絡され、このファミリーの以前のレポートで繰り返し見られるポートです。

インプラントはステルスと永続化に焦点を当てています。管理コンテキストをチェックし、ユーザーアカウント制御（UAC）レジストリキーを改ざんしてプロンプトを抑制し、「Windows Eventn」という名前でWindows Serviceとして自身を登録し、ウォッチドッグループを使用して強制終了された場合に再起動します。

バイナリの文字列ヒープは完全に空で、.NETメタデータに読み取り可能な文字列がなく、#USヒープに依存して文字列リテラルを復回するスタティック分析ツールは価値のあるものを見つけられません。 

インフラストラクチャの一部は、APT-Q-27/GoldenEyeDogに以前関連付けられていたネットワークとASNと重なっており、FarfliおよびSilver Foxなどのモジュラーバックドアを使用してギャンブルおよび暗号資産エコシステムを狙うことで知られているグループです。

帰属は決定的ではありませんが、重なりはツール、インフラストラクチャ、および行動に及びます。ステージングパス内の@27タグ、中国登録電子認証証明書の悪用、サイドローディングのYYバイナリの使用、およびアジアのホスティング内の長寿命C2ノード。

このキャンペーンはまた、SEO駆動型の水穴型サイト攻撃や偽のダウンロードサイトからライブサポートチャネル内の最前線スタッフへの直接的な関与への戦略的シフトを示しており、Web3サポートワークフローの高信頼度・高速度を悪用しています。

検出と実践的な防御

防御者にとって、このチェーンから複数の高忠実度ホストおよびネットワークインジケーターが浮上します。エンドポイント上で、「@27」がフォルダ名に含まれるWindows UpdateをまねたAppDataパスの作成、「SystemUpdats」という名前のレジストリRun エントリ、「Windows Eventn」という名前の新しいサービス、およびUAC設定（EnableLUA、ConsentPromptBehaviorAdmin、PromptOnSecureDesktop）が連続して0に設定されることを監視します。

ペイロードコンポーネントが配置されると、マルウェアはHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに値を書き込み、ステージングディレクトリ内のupdat.exeを指します。

メモリ内では、特定の16バイトXORキーと設定デリミター文字列「|#$|」をハンティングすることで、アクティブなインプラントを浮上させることができ、ネットワーク上では、ドキュメント化されたC2 IPレンジへのTCPポート15628経由の送信トラフィックはすべてブロックおよび調査の対象にする必要があります。

同様に重要なのは、サポート運用の人間側とプラットフォーム側を強化することです。Windowsで可視ファイル拡張子を適用し、サポートエージェント向けのファイル処理をサンドボックス化し、チャット経由で受信したファイルのクリックまたは実行に関する保護手段を追加することで、見た目が似た「スクリーンショット」リンクからのリスクを大幅に削減できます。

Web3企業の場合、侵害されたサポートワークステーションがすぐに資金喪失やハイジャックされた管理セッションに変わる可能性があり、サポート環境を厳密なEDRカバレッジ、最小権限アクセス、および専用フィッシングトレーニング完備の高価値資産として扱うことが、ぜいたくではなく基本的な制御になりました。

侵害の指標（IOC）

翻訳元: https://gbhackers.com/fake-screenshot-lures/