TokyoBlackHatNews

gbhackers.com 4分で読了

DLLサイドローディングを通じた複数大陸へのPlugX USBワーム攻撃

新しいPlugX USBワーム亜種が、DLLサイドローディングと静かなUSBベースの伝播を使用して、複数の大陸全体で新しい感染波を引き起こしており、検出を回避しています。

2022年8月にパプアニューギニアで最初に観察されたこの同じ株は、数ヶ月後に太平洋圏だけでなく、ガーナ、モンゴル、ジンバブエ、ナイジェリアでも再び現れ、断片化されているがグローバルな拡散パターンを強調しています。

PlugXは中国発祥の長期実行型遠隔アクセストロイの木馬(RAT)で、スパイ行為に関連する侵入集団によって頻繁に展開され、多くの場合正当な実行可能ファイルのDLLサイドローディングを通じて配信されます。

このキャンペーンでは、地理的に遠く離れているが局所化された感染クラスタは、オペレータが広範なフィッシングではなく、物理メディアまたは制御されたUSBシーディングを通じた標的化された配布を活用していることを示唆しています。

Image

研究者はこの亜種が新しいペイロードを導入していることに注目し、以前はPlugXアクティビティとのみ緩く関連していると考えられていたコマンド・アンド・コントロール(C2)サーバーへのコールバックを使用しています。

新しい亜種の45.142.166[.]112のC2インフラストラクチャへのコールバックは、このエンドポイントを「他のPlugX」アクティビティに暫定的にリンクした以前の研究と一致し、最近の分析はPKPLUG/Mustang Pandaの脅威アクターへのリンクを強化します。

DLLサイドローディングとUSB伝播のしくみ

ワームはDLLサイドローディングに脆弱な正当なAvast実行可能ファイル(AvastSvc.exe)を悪用し、これを悪質なDLL(wsc.dll)と暗号化されたPlugXペイロードと組み合わせます。

Image

感染したシステムと取り外し可能なドライブで、マルウェアはコンポーネントをRECYCLER.BINディレクトリに配置し、信頼されたローダー(例えば、CEFHelper.exeに)をリネームして、良性のヘルパープロセスとして偽装します。

ユーザーが取り外し可能なドライブショートカットのように見えるものをダブルクリックすると、Windowsは実際にリネームされたAvastSvc実行可能ファイルを実行し、その後、不正なDLLをサイドロードし、PlugXバックドアを復号化します。

Image

データ盗難と横展開をサポートするために、ワームはipconfig、systeminfo、tasklist、netstatを含む一連の検出コマンドを実行するバッチスクリプト(tmp.bat)をドロップし、結果をBase64エンコードされた名前の難読化ファイルに収集します(例えば、sys.infoの場合は「c3lzLmluZm8」)。

その後、PlugXは.doc、.docx、.xls、.xlsx、.ppt、.pptx、.pdfなどの拡張子を持つドキュメントを検索し、ファイルごとのサイズ制限までコピーを暗号化してRECYCLER.BINに格納し、Base64エンコードされたファイル名を使用して後の流出に備えます。

取り外し可能なメディアでは、ワームはWindowsショートカットトリックとファイルシステム属性を使用して、一般的なユーザーに見えないようにしています。

古いUSBワーム戦術、スケールで更新

ドライブは単一の「取り外し可能なディスク」エントリを除いて空に見えますが、これはストレージコンテンツを開くのではなく、サイドロードされたローダーを起動するショートカットです。

Image

すべての悪質なファイルと盗まれたデータは隠し属性とシステム属性としてマークされ、作成されたdesktop.iniはRECYCLER.BINをWindows Recycle Binシェル拡張機能と関連付けるので、ホストシステムから通常のごみ箱コンテンツを表示し、バックドアの存在をさらにマスクします。

USBワームがクラウドストレージとメールが支配的なベクトルになったため人気が落ちてきた一方で、PlugXのUSB対応亜種は高度な持続的脅威(APT)アクターが永続性のため、および孤立したネットワークまたは厳しく分割されたネットワークに到達するために取り外し可能メディアの伝播を復活させていることを示しています。

最近のシンクホーリングの取り組みとテレメトリーは、自己拡散PlugX USBマルウェアファミリーが初期展開から数年後も活動的であり、数万個の感染した公開IPが毎日ビーコンを送信していることを示しています。

最新のDLLサイドローディングPlugX USBワームは、成熟したツールセットがローダーとインフラストラクチャの最小限の変更で再パッケージ化され、新しい地理的に分散したキャンペーンを作成できることを強調しています。

翻訳元: https://gbhackers.com/plugx-usb-worm/

ソース: gbhackers.com
#APT #DLLサイドローディング #Mustang Panda #PlugX #USBワーム #サイバー攻撃 #データ盗難 #バックドア #マルウェア #リモートアクセストロイ

関連記事

Mirax Android RATが感染したスマートフォンを住宅用プロキシとして乗っ取る

ボットネット露出:ハッカーがワーカーアクセスとルートパスワードを丸出しに

Janela RAT:偽のMSIインストーラーと悪意のある拡張機能を通じて拡散