Node.jsやPythonなどのランタイムコード環境は、通常のネットワークトラフィックに溶け込もうとする脅威アクターの長年のターゲットとなってきました。
現在、正規のDeno JavaScriptランタイムが野生で兵器化されています。新たに分析されたマルウェア株であるDinDoorは、Denoと悪意のあるMSIインストーラーを利用して、従来のセキュリティ防御を回避しています。
2026年3月にBroadcomによってイラン系APTグループSeedworm(別名MuddyWater)に最初にリンクされたDinDoorは、Tsundere Botnetの傘の下で動作しています。
従来のコンパイル済みバイナリを展開する代わりに、攻撃者はこれらの信頼されている署名付きランタイムを使用して、難読化されたスクリプトを実行します。
Denoは正規の開発者ツールであるため、その実行は動作アラートをバイパスすることが多く、PowerShellやPythonに厳密に調整されたモニタリング環境では、ディフェンダーにとって危険な盲点を生じさせます。
DinDoorは主に、欺瞞的なMSIインストーラーファイルを使用したフィッシングまたはドライブバイダウンロードを通じて配信されます。
これらのインストーラーは、正規のプロジェクトエンドポイントから直接Denoランタイムをサイレントにダウンロードし、実行に管理者権限は必要ありません。
研究者は最近、2つの異なるDinDoorサンプルを分析し、マルウェアの回避技術がどのように進化しているかを明らかにしました。
migcredit.pdf.msiという名前の最初のサンプルは、二重拡張子を使用して、正規のロシア系金融企業からのPDFドキュメントに偽装しています。
実行時に、Denoをインストールし、難読化されたJavaScriptをローカルディスクに書き込んでから実行する隠されたPowerShellスクリプトを落とします。
対照的に、2番目のサンプルであるInstaller_v1.21.66.msiは、より洗練されたファイルレスアプローチを示しています。
WiXツールセットでパッケージ化され、ロシアンサイバー犯罪に関連する疑わしい証明書で署名されたこのバリアントは、ユーザーをだましながら、バックグラウンドで隠されたPowerShellプロセスをサイレントに起動する偽のWindowsエラーメッセージを表示します。
ファイルレスインストーラーサンプルは、JSON Web Token(JWT)をC2 URLパスにハードコードしています。このトークンをデコードすると、プロキシ構成とプライマリC2ドメイン(serialmenot[.]com)を含む重要なキャンペーンメタデータが露出します。
このドメインは、様々な国家主導およびサイバー犯罪アクターの間で共有されるマルチテナントインフラストラクチャとして動作しています。以前はCastleLoaderマルウェアファミリーにリンクされていました。
これらのC2サーバーからのHTTPレスポンスを分析することで、研究者は一貫したパターンを発見しました。
アクティブなサーバーは、Caddyウェブサーバープロキシの使用を示す特定のヘッダーを返しました。特にVia: 1.1 CaddyヘッダーとユニークなX-Request-Idです。
これらのHTTPヘッダーの異常と特定の404エラーコンテンツ長に焦点を当てたターゲット指定された脅威ハンティングクエリを使用して、調査員はアクティブなインフラストラクチャを正常にマップすることができました。
この技術により、既知のいくつかのバレットプルーフホスティングプロバイダーを含む、複数の自律システムに分散した20のアクティブな悪意のあるサーバーが発掘されました。
翻訳元: https://cyberpress.org/dindoor-evades-security-tools/
