攻撃チェーンは、遅延実行、信頼されたWindowsユーティリティ、および正当なホスティングサービスに依存して、永続性を維持し、検出を回避します。
Microsoftは、ユーザーを悪意のあるVisual Basic Script(VBS)ファイルの実行に騙す新しいマルウェアキャンペーンについて、WhatsAppユーザーに警告しています。これは最終的に永続性とリモートアクセスを可能にします。
3月31日のレポートで、Microsoft Defender Expertsは、攻撃者が少なくとも2月下旬からWhatsAppを通じて悪意のあるVisual Basic Script(VBS)ファイルを配布しており、社会工学的アプローチに依存してそれらを実行させていると述べています。
起動されると、スクリプトは遅延マルウェア実行を実行し、まず通常のシステムアクティビティに融合するように設計された多段階の感染フローを開始し、バックグラウンドで作業してリモートコントロール用の追加ペイロードをプルします。「キャンペーンは、社会工学的アプローチと、ランド外生活(LOTL)技術の組み合わせに依存しています」とMicrosoftの研究者はレポートで述べています。「信頼されたプラットフォームを正当なツールと組み合わせることにより、脅威アクターは可視性を低減し、成功した実行の可能性を高めます。」
このキャンペーンは、最終的に悪意のあるMicrosoft Installer(MSI)パッケージをインストールして、感染したデバイスの制御を維持します。
キャンペーンはLOTL感染チェーンをデプロイ
攻撃はVBSファイルを含むWhatsAppメッセージから始まります。実行されると、スクリプトはシステム上に隠しディレクトリを作成し、侵害の次のステップのステージングを開始します。
ただし、カスタムマルウェアをすぐにドロップするのではなく、キャンペーンはランド外生活技術に移行します。VBSペイロードは、curl.exeやbitsadmin.exeなどの正当なWindowsユーティリティの名前変更されたバージョンをデプロイし、カジュアルな検査を回避するために誤解を招くファイル名で偽装します。
これらのバイナリは元のメタデータを保持していますが、名前を変更することで、追加ペイロードのダウンロードなどの悪意のあるタスクを実行しながら環境に融合することができます。「Microsoft Defenderおよび他のセキュリティソリューションは、このメタデータの矛盾を検出シグナルとして活用し、ファイルの名前が埋め込まれたOriginalFileNameと一致しないインスタンスにフラグを立てることができます」とレポートに追加されました。
研究者は、ペイロードの取得さえも正当なホスティングソースから発生することに注意しました。攻撃者は、AWS、Tencent Cloud、Blackblaze B2を含むよく知られたクラウドプラットフォームにコンポーネントをホストしています。これらの信頼されたツール、信頼されたインフラストラクチャ、およびステージされた実行の使用は、これが低ノイズで信頼性の高い攻撃パスである理由としてフラグされました。
永続性のためのバックドア手段としてのMSI
キャンペーンの最終段階は永続性につながり、Microsoft Installer(MSI)パッケージをバックドアの配信メカニズムとして使用します。
MSIファイルは通常、本質的に疑わしいものとして扱われず、インストール中にカスタムアクションを実行できるため、効果的な選択肢です。このキャンペーンでは、アクセスを維持し、特権をエスカレートし、感染したシステムのリモートコントロールを可能にするマルウェアをデプロイするために使用されます。
MSIコンポーネントがインストールされるまでに、攻撃者はスクリプトとシステムツールを使用して既に足がかりを確立しており、バックドアはMicrosoftによって発見された広い永続性戦略における1つのレイヤーにすぎません。以前のステージは環境の準備を確保し、インストーラーは長期的なアクセスを形式化します。
Microsoftはまた、キャンペーンが永続性を強化するために特権エスカレーションを組み込んでおり、マルウェアが昇格された特権で実行され、初期ユーザーレベルの侵害を超えてアクセスを維持することができることに注意しました。推奨事項には、スクリプトとインストーラー実行の監視、正当なツールの誤用の監視、およびWhatsAppなどのプラットフォームを通じて配信されるファイルに関連する疑わしいアクティビティの追跡が含まれています。
