新たに特定されたKissローダーと呼ばれるマルウェアローダーが、Early Bird APCプロセスの注入で終わる多段階感染チェーンを通じてWindowsシステムを積極的に標的にしていることが発見されました。
G DATAのTechBlogで報告されたこの発見は、技術的な洗練さだけでなく、分析中の異常な展開でも目立ちます。研究者はマルウェアの背後にある脅威アクターと直接のリアルタイム会話に従事しました。
KissローダーはPythonベースのローダーで、現在積極的に開発中です。2026年3月10日に初めて特定され、研究者はアクセス制限のないオープンなWebDAVディレクトリに新たに展開されたファイルを観察しました。
マルウェアは検出を回避し、リモートアクセスツールを配信し、侵害されたマシンに永続性を維持するように設計された多層実行チェーンを採用しています。
その機能は、継続的な開発の証拠と組み合わせて、注視する価値のある潜在的な新興脅威として位置付けられています。
攻撃はDKM_DE000922.pdf.urlという名前のWindowsインターネットショートカットファイルで始まり、TryCloudflareトンネルを通じてホストされたリモートWebDAVリソースに接続します。
このCloudflareサービスは、専用インフラストラクチャを必要とせずに、ローカルホストサービスへの一時的なパブリックトンネルを作成します。
この設定により、攻撃者は最小限のフットプリントでペイロードをホストおよび動的に更新できます。
最終実行ステージは、Early Bird APCを正規のWindowsプロセスexplorer.exeに注入することによって達成されます。
ローダーはターゲットプロセスを一時停止状態で作成し、実行可能メモリを割り当て、復号化されたシェルコードを書き込みます。
新しいスレッドを作成する代わりに、一時停止中のプロセスのプライマリスレッドに非同期プロシージャコール(APC)をキューイングします。
スレッドが再開されると、APCは通常のプロセス実行が開始される前に実行され、シェルコードが信頼できるシステムプロセスのコンテキストで実行され、ステルスが大幅に向上し、多くのエンドポイント検出メカニズムがバイパスされます。
注入方法について直接尋ねられた際、アクターは「早期鳥類注入」であることを確認し、技術的な発見をリアルタイムで検証しました。交換は簡潔でした。アクターは最終的に応答を停止し、再接続しませんでした。
この事件は稀だが重要な原則を強調しています。分析環境は完全に分離されたままである必要があります。分析者と敵の境界は予想外に薄くなる可能性があるためです。
Kissローダーのインフラストラクチャとコードベースは、埋め込まれたテストユーティリティ、詳細な実行時出力、復号化と注入ロジックを説明する詳細なインラインコメントなど、初期段階のツールまたはAI支援コード 生成と一致する指標を含む、積極的な開発の明確な兆候を示しています。
翻訳元: https://cyberpress.org/kiss-loader-uses-apc-injection/