サイバー犯罪者は、攻撃の影響と収益性を最大化するために、マルチペイロード戦略をますます採用しています。
Splunk脅威研究チーム(STRT)は、洗練されたローダーを使用して2つの異なる脅威を配信する新しい悪意のあるキャンペーンを特定しました:Gh0st遠隔アクセストロイの木馬(RAT)とCloverPlusアドウェアです。
この異例の組み合わせは、脅威アクターに、深刻なシステム侵害のための長期的なバックドアアクセスと、アドウェアマネタイズによる即座の金銭的利益の両方を提供します。
Gh0st RATは、堅牢な回避と永続性機能のため、攻撃者の間で一貫して好まれています。
同時に、CloverPlusコンポーネントは執拗な邪魔として機能し、ブラウザの動作を変更し、不要な広告を注入します。
初期感染は、リソースセクション内に隠された2つの暗号化されたペイロードを抽出する際に検出を回避するために設計された、非常に難読化されたローダーに依存しています。
AdWare.Win32.CloverPlusとして特定された最初のペイロードは、スタートアップページを変更し、クリックをマネタイズするためのポップアップ広告を生成するなど、不要なブラウザ変更を開始します。
アドウェアがデプロイされた後、ローダーは%temp%ディレクトリで独自の実行パスをチェックします。存在しない場合、ローダーのRSRCセクションに.DLLファイルとして暗号化されているGh0st RATクライアントモジュールという主要な脅威を復号化する前に、自分自身のコピーをドロップします。
マルウェアはランダム化されたファイル名と拡張子を生成し、C:\ドライブのルートにある新しく作成されたランダム名付けされたフォルダに復号化された.DLLを保存します。
このペイロードは、その後、正規のWindowsrundll32.exeアプリケーションを使用して実行され、これは古典的なディフェンス回避技術です。
継続的な操作を保証するために、Gh0st RATのバリアントは複数の永続メカニズムに依存しています。システムの起動時に自動的に実行するために、従来のWindows Runレジストリキー(T1547.001)を使用します。
さらに、Windows Remote Accessサービス用のレジストリエントリを作成し、ユーザーの操作なしに昇格されたSYSTEMレベルの権限で実行されるその悪意のあるDLLをドロップすることで、リモートサービスを悪用します(T1021)。
また、標準的なWindowsサービス(T1543.003)として自分自身をインストールし、別の信頼性の高い、高権限の永続メカニズムを提供します。
GetKeyState()などのWindows APIを使用してキーストロークをログ記録し(T1056.001)、機密情報を取得し、ネットワーク全体でのラテラルムーブメントを促進します。
この脅威に対抗するために、STRTは、非標準ファイル拡張子を持つ異常なrundll32.exe実行に焦点を当てた特定の検出クエリを配置すること、実行遅延に使用されるping-sleepコマンドを監視すること、疑わしいレジストリ変更を追跡すること、および%temp%ディレクトリから直接実行しているプロセスを特定することを推奨しています。
翻訳元: https://cyberpress.org/gh0st-rat-meets-cloverplus/
