新しい「DeepLoad」マルウェアは、単一のユーザークリックをファイルレスの認証情報盗難持続性に変え、ClickFix技術とAI生成の難読化を活用して従来の防御を回避し、エンタープライズネットワーク内に侵入します。
DeepLoadはClickFix(ソーシャルエンジニアリング手法)を介して到着し、ユーザーに「修正」コマンドをWindowsの実行またはターミナルに貼り付けるよう指示し、その動作をマルウェア実行ではなく正当なユーザー操作に見せかけます。
このキャンペーンでは、実行ポリシーバイパスで実行された単一のPowerShellコマンドがリモートローダーをプルし、マルウェアを再実行するスケジュール済みタスクを直ちに作成し、攻撃者に再起動後も生き残るアクセスを与えました。
ReliaQuestの研究者はこのキャンペーンが新しいマルウェアファミリーがいかに迅速に「運用的に成熟した」状態で出現できるかを示しており、多くの組織が依然として依存しているファイルと署名中心のコントロールを破ってしまうと述べています。
その後、攻撃チェーンはmshta.exeを悪用して、難読化されたPowerShellペイロードを目的別に構築されたステージングインフラストラクチャから取得し、数分以内に悪意のあるコンテンツを配信し始め、手動調査ワークフローを上回りました。
DeepLoadマルウェア
DeepLoadのPowerShellローダーは、無意味な変数の割り当てと良さそうに見えるドメインへの参照が数千個で埋め込まれており、こうしたノイズの多さのため、スクリプトの下部の実際のロジックの小ブロックを静的スキャナーが分離するのに苦労します。
ReliaQuestは高い信頼度でこのパディング生成にAIが使用されたと評価し、新しいバリアントの迅速な反復を可能にし、ディフェンダーが波の間に署名を調整する時間を減らしました。
機能的なコアはハードコードされたキーを使用してメモリ内のシェルコードを復号化し、復号化されたペイロードをディスクに書き込むことはなく、従来のファイルベースのエンジンが照合する具体的なものがありません。
ノイズを切り抜くため、研究者はPowerShellスクリプトブロックログを有効にすることを推奨し、ディフェンダーが周囲のジャンクではなく復号化されたコマンドとメモリ内の動作を見ることができるようにします。
実行すると、DeepLoadは信頼できるWindowsプロセス内に隠れて通常のアクティビティに溶け込み、ネットワーク接続をめったに開始せず、デフォルトの監視外に落ちることが多いロック画面プロセスであるLockAppHost.exeを優先します。
Add-Typeを使用して、ローダーはC#インジェクタをランダムな名前を持つ一時DLLにオンザフライでコンパイルし、その後ネイティブWindowsAPI呼び出しを使用してAPC注入でLockAppHost.exe、makecab.exe、またはMagnify.exeなどのプロセスにシェルコードを配置します。
そこから、DeepLoadは認証情報に焦点を当てます。スタンドアロンのスティーラーコンポーネント(filemanager.exe)と悪意のあるブラウザ拡張機能が保存されたパスワードをスクレイプしてキーストロークとセッションをインターセプトし、プライマリローダーがブロックされた場合でも別のC2チャネルに流出を続けることができます。
USB拡散とWMIベースの再感染
ReliaQuestはDeepLoadがUSBドライブを通じて拡散し、一般的なインストーラーになりすましたショートカットファイルを数十個迅速に書き込み、他のホストで開かれたときに感染チェーンを再トリガーするために観察しました。
テレメトリーは攻撃者インフラストラクチャで専用の”/t1_usb”トラッキングパスを示し、USB活動がバックエンドで明確に処理されていることを示しています。
見かけ上のクリーンアップ後でも、キャンペーンは隠されたWindows Management Instrumentation(WMI)イベント購読を通じて持続し、スケジュール済みタスクと目に見えるアーティファクトが削除されてから3日後に、filemanager.exeをホストに戻しました。
WMI購読は独自のリポジトリに存在し、単純なファイルトレースを残さないため、通常の修復で見落とされることが多く、「クリーン」なホストが静かに自動再感染することができます。
ReliaQuestおよび他の専門家は、ランタイム、動作ベースの可視性がDeepLoadおよび同様のAI支援キャンペーンを検出する唯一の確実な方法であることを強調しています。
組織はPowerShellスクリプトブロックログを有効にし、疑わしいmshta.exeアクティビティと実行ポリシーバイパスを監視し、プロセス注入、異常なLockAppHost.exeの動作、およびQueueUserAPC形式の技術を検出できるEDRテレメトリーをデプロイする必要があります。
影響を受けたシステムでは、ディフェンダーは明示的に許可されていないWMIイベント購読を監査して削除し、接続されたすべてのUSBメディアを潜在的に侵害されたものとして扱い、ブラウザ保存パスワードとアクティブセッションを含む感染ウィンドウ中に使用されたすべての認証情報をローテーションする必要があります。
脅威アクターがAIに依存して難読化を産業化し、マルウェアのイテレーションを加速させるにつれて、検出戦略はClickFix形式のユーザーコマンド実行やファイルレスプロセス注入などの耐久性のある動作に焦点を当てる必要があり、単一の新しいビルドで変わる可能性のある脆い指標ではなく。
IOC(侵害の指標)
| アーティファクト | 詳細 |
|---|---|
| 1432393691b415d0cd4680d9cee73e60896 fbe63300d9f0355c96e91817e4b1d | filemanager.exe |
| 6AABA685669D779EF8BE8F7F4231096CFA FD0EF386F3897C5E2106C177724FC8 | domain-resolver.js |
| holiday-updateservice[.]com | ステージングドメイン |
| forest-entity[.]cc | ステージングドメイン |
| AB450927B37E1B68E2BE68832C354AC600 E86E2545A904D4CA0EA283F2600CC2 | api-client.js |
| 271D57775FD188FFE13F2F717538427CD666 7F82127E9C637303236231A456FA | popup.html |
| hell1-kitty[.]cc | サポートインフラストラクチャ |
翻訳元: https://gbhackers.com/deepload-malware/
