新たに発見されたイラン政府支援グループAPT-C-49(OilRigまたはAPT34としても知られている)によるサイバースパイ活動キャンペーンは、Google Drive上でホストされている一見無害に見える画像内に悪意あるコンフィギュレーションを隠す高度な攻撃チェーンを明らかにしました。
最近のイランの抗議活動をフィッシング餌として利用し、脅威行為者は、ステガノグラフィと正当なクラウドサービスの悪用を通じて検出を回避するよう設計された高度なマルチステージマルウェアを展開しました。
攻撃は、テヘランの最近の抗議活動に関連する犠牲者または参加者のリストに偽装した悪意あるExcelマクロドキュメントで始まります。
被害者がファイルを開いてマクロを有効にすると、VBAスクリプトが埋め込まれたC#ソースコードを秘密裏にデコードします。組み込みのWindowsコンパイラ(csc.exe)を使用してローカルでコンパイルします。
これにより、メモリ内で完全に動作する悪意あるローダーが作成され、感染システムへのフットプリントが最小化されます。
永続性を維持するために、マルウェアは正当なWindowsの実行可能ファイルをコピーし、ホストコンピューターが起動されるたびに悪意あるペイロードをトリガーするようにタスクをスケジュールします。
このキャンペーンをユニークにしているのは、コマンド・アンド・コントロール(C2)の指示を取得するための信頼できるクラウドインフラストラクチャへの依存です。有効になると、ローダーはハードコードされたGitHubリポジトリに接続してエンコードされたテキストファイルを読みます。
このファイルは、一見普通のPNG画像をダウンロードするGoogle Driveリンクを提供します。しかし、OilRigハッカーは最下位ビット(LSB)ステガノグラフィを使用して、暗号化されたコンフィギュレーションデータを画像のピクセル内に秘密裏に埋め込みます。
Base64とXORメソッドの組み合わせを使用してこの隠されたデータを抽出および復号化することにより、マルウェアは次段階の攻撃モジュールをダウンロードするために必要な重要なネットワークアドレスを取得します。
ローダーがGoogle Driveイメージから隠されたコンフィギュレーションを抽出した後、高度に特殊化されたペイロードモジュールの取得を開始します。
これらのモジュール型コンポーネントはシステムのメモリに直接動的にロードされ、ハードドライブ上の悪意あるファイルを探す従来のアンチウイルススキャナーをバイパスできます。
個別のモジュールは、ファイルアップロード、機密データの盗難、直接コマンド実行、その他の侵害されたアプリケーションの起動など、様々な悪意あるアクティビティを処理します。
主なコマンド・アンド・コントロール通信のために、マルウェアはTelegram Bot APIを使用して暗号化されたチャネルを確立します。
TelegramトークンとチャットIDは、復号化されたステガノグラフィコンフィギュレーションから取得されます。
これにより、攻撃者は正当なTelegramトラフィックを介してコマンドを送信し、盗まれたデータを受信できます。これは通常のネットワークアクティビティと簡単に混合され、ほとんどの企業ファイアウォールをバイパスします。
さらに、セキュリティ研究者はソースコードがペルシア語のコメントを含み、過去のOilRig操作を大きく反映していることに気づき、この近代化されたクラウド悪用の脅威をイランのAPTグループに確かに帰属させました。
ファイルレスメモリ実行へのシフトとGoogle Drive、GitHub、Telegramなどのプラットフォームの悪用により、OilRigは適応して最新のエンドポイントセキュリティ防御を回避する能力を継続的に実証しています。
翻訳元: https://cyberpress.org/oilrig-hides-malware-config/