TokyoBlackHatNews

gbhackers.com 4分で読了

新しいマルウェアが難読化と段階的ペイロードの背後に隠れる

最近のJoe Sandboxの分析によると、新しく特定されたマルウェアキャンペーンは、従来のセキュリティ防御を回避するために、高度な難読化技術と多段階ペイロード配信を活用しています。

攻撃は、パキスタンのパンジャブ安全都市当局(PSCA)およびPPIC3の従業員に送信された、高度にターゲット化されたスピアフィッシングメールで始まります。

メールは社内コンサルタントになりすまし、「セーフジェイルプロジェクト」というタイトルの信頼できるインフラストラクチャーイニシアティブを参照し、ユーザーインタラクションの可能性を高めます。

緊急性と正当性を高めるため、メールは高優先度としてマークされ、開封確認要求が含まれています。

主に政府関連の組織を対象とする攻撃は、正当なサービスと層状感染チェーンを悪用して検出されないようにする脅威アクターの増加傾向を強調しています。

2つの悪質な添付ファイルが含まれています:「CAD Reprot.doc」という名前のWordドキュメントと「ANPR Reprot.pdf」というPDFファイル。どちらも急いだ社内通信を模倣するために意図的に綴りが誤りです。

多段階感染チェーン

Wordドキュメントには、ユーザーがコンテンツを有効にした場合にのみ実行される悪質なVBAマクロが含まれています。アクティブ化されると、マクロはIServerXMLHTTPRequest2オブジェクトを使用して、BunnyCDNでホストされたドメインから「code.exe」という名前のペイロードをダウンロードします。

特に、マクロはVBAストンピングを採用しており、これは静的分析ツールを回避するために悪質なコードをコンパイルされたPコードに隠す技術です。

同時に、添付されたPDFは感染の二次ベクトルとして機能します。ユーザーに「PDFリーダーを更新」するよう促す、偽のAdobe Readerエラーメッセージを表示します。

ボタンをクリックすると、「Adobe.application」という名前の悪質なClickOnceアプリケーションのドライブバイダウンロードがトリガーされ、「Adobe.exe」に偽装した二次ペイロードを取得します。

このキャンペーンの最も洗練された側面の1つは、コマンドアンドコントロール(C2)通信に正当なプラットフォームを使用することです。

マルウェアは、Microsoftの Visual Studio Code トンネルサービス経由で永続的な接続を確立するパラメータを使用して「code.exe」を実行します。これにより、攻撃者は悪質なトラフィックを信頼できるインフラストラクチャーとブレンドさせながらリモートアクセスを維持できます。

さらに、マルウェアはデータ流出のためのDiscord webhooksを使用しています。ペイロードに埋め込まれた機能は、実行ステータスと潜在的に機密情報を攻撃者が制御するDiscordチャネルに送信し、ネットワークレベルでの検出をさらに複雑にします。

回避と永続化テクニック

マルウェアは検出と分析を回避するための複数の回避戦略を採用しています:

  • 既存のインスタンスまたはサンドボックス環境を検出するために tasklist.exe を使用したプロセス列挙。
  • 信頼チェックをバイパスするために、署名されていないnullパブリックキーを持つClickOnceマニフェストトークン。
  • ユーザーを欺くためのタイポスクワッティングされたファイル名とAdobeブランドになりすまし。
  • CDNでホストされたインフラストラクチャーを介した自動ペイロード配信。疑わしいドメインへの依存を削減します。

これらのテクニックは、段階的なペイロード配信と組み合わされて、マルウェアを従来のアンチウイルスおよびエンドポイント検出システムに対して非常に弾力性を持つようにします。

セキュリティ分析は、サンプルに100/100の悪質スコアと95%の信頼レベルを割り当てます。Suricata、Sigma、YARA、VirusTotalを含む複数の検出エンジンが調査結果を裏付けています。

機能的なマクロベースのダウンローダー、確認されたペイロード実行、および攻撃者が制御するインフラストラクチャーの存在により、誤検知の余地はほとんどありません。

このキャンペーンは、Microsoft VS Code トンネルとDiscordなどの正当なサービスがますます兵器化される、攻撃者戦術のより広い転換を強調しています。

組織は、デフォルトでマクロをオフにし、開発者の異常な使用を監視し、VS Code トンネルなどのツールの使用を監視し、エンドポイントとネットワーク全体の疑わしい活動を特定するための高度な動作検出システムを実装することをお勧めします。

信頼できるエコシステム内で動作することにより、脅威アクターはドメインレピュテーションとシグネチャベースの検出に大きく依存する従来のセキュリティ制御を回避できます。

翻訳元: https://gbhackers.com/obfuscation-and-staged-payloads/

ソース: gbhackers.com
#C2通信 #ClickOnce #Discord webhook #VBAマクロ #VS Code トンネル #スピアフィッシング #ペイロード配信 #マルウェア #回避技術 #難読化技術

関連記事

EUがDMA下でGoogleに競合他社との検索データ共有を強制する提案

偽のYouTubeダウンロードがVidarマルウェアを拡散し、企業ログイン情報を盗む

Microsoft が Windows 11 Copilot を無効化するエンタープライズポリシーオプションをリリース