Computer Security Astaroth Malware Moves in on Cloudflare Workers to Evade ...

Astaroth Malware Moves in on Cloudflare Workers to Evade Detection

astarothマルウェアトロイの木馬攻撃最近のニュースで、ユーザーを苦しめたファイルレスマルウェアであるAstarothの拡散に関する公開レポートがインターネットセキュリティコミュニティの注目を集めました。この脅威は、実行可能ファイルを使用せずにアクションを秘密に実行する複雑な接続チェーンを使用するシステムツールを実行しました。

公表された報告書の後、アスタロト作戦の行動の背後にあるグループは、 彼らの戦術を変えることに決めました 。具体的には、Cloudflare Workerを使用して、検出をかわすことを試みてキャンペーンを続行していました。 以下に説明するように、プロセスはいくつかの段階で行われました。

ステージ1

キャンペーンの背後にいる俳優は、古典的なソーシャルエンジニアリングスキームを使用して作業を開始しました。彼らがしたことは、組織が請求または監査リクエストに対して受け取る通常の自動電子メール応答のようなメッセージを送信することでした。 HTMLファイルが実際にHTMLファイルであることを隠そうとしないHTML添付ファイルも使用されました。 Javascriptコードを難読化して含めるために特別に作成されているため、HTMLを使用する単純なケースになりました。

ArrayBuffer関数への単純なBase64文字列で始まり、その後に攻撃の次のステップを実行するために使用されるBase64エンコードURLが続きます。 3番目のセクションは、URLに基づいてブラウザーメモリにblobオブジェクトを生成し、ブラウザーセッションでダウンロードするために使用されます。プロセスに寄与しないファイルのフィラーセクションがあります。

Cloudflareを使用することで、トリートアクターは、Astarothの実際のペイロードではなく、自動化された分析ツールまたはサンドボックスがチャレンジページを受け取るセキュリティのレイヤーを追加しています。 Cloudflare IP Geolocationは、感染したマシンからホストサーバーに送信されるすべてのリクエストに「CF-IPCountry」という名前のヘッダーを追加します。ブラジルのIPからの1人の訪問者は、実際の2番目のステップのペイロードを見ることができます。攻撃の2番目のステップを生成するために、URLのJSONが解析され、Base64から配列バッファーに変換され、ブラウザーのblobストレージに書き込まれ、HTMLファイルに合わせて名前が変更されます。それが完了すると、リンクが作成され、感染したマシンのブラウザにダウンロードするために自動クリックされます。

ステージ2

この手順は、URLのデータに基づいて作成されたzipファイルで始まります。作成方法には、zipファイルをダウンロードする通常の方法と比べていくつかの利点があります。脅威アクターは、ターゲットごとに異なるファイルを作成し、単一のウェイポイントを介してサービスを提供する場合があります。ネットワークトラフィックはダウンロードファイルオブジェクトをブロックする可能性がありますが、JSONはWebの自然な部分であるため、ブロックされません。一部のセキュリティベンダーは、ネットワーク上のファイルオブジェクトを識別し、分析のために送信する場合があります。これにより、操作がかなり迅速に公開されることになります。

Cloudflare Workerは、Webブラウザーのバックグラウンドで実行され、HTTP要求をインターセプトするスクリプトのAPIであるWeb Workersから名前を取得することで、そのように命名されています。 Cloudflare Workersを使用すると、ユーザーは世界中のCloudflareの多数のデータセンターでJavaScriptを実行できます。ワーカーを使用すると、さまざまな操作を実行できます。

ステージ3

スクリプトファイルは、Lqncxmm:vbvvjjh.jsという名前で一時ディレクトリに保存され、Windowsスクリプトホスト(Wscript)で実行されます。. 脅威アクターは、単純な乱数ジェネレーターを追加し、3番目のステップのペイロードをダウンロードするURLをランダム化するため、Cloudflareのこの機能を活用しています。 3番目のステップでは、各リンクに2回使用される、20,000〜50,000の乱数に使用される10個のランダム化された一意のワーカーノードリンクがあります。 1つのリンクには、最大9億の組み合わせがあります。

URLhausを使用してAstarothのサンプルを検索したところ、少なくとも1人のアナリストがリンクを取得し、分析のために送信できることがわかりました。ただし、スクリプトが実行されるたびに、URLは異なります。 32ビットWindowsを実行するシステムでは、Cloudflareリンクはスキップされ、Astarothは静的リンクを持つプライベートGoogleリポジトリを使用します。

Astarothを使用する攻撃者は、 検出を回避し 、研究者と分析の試みを困難にするために最善を尽くすために余分な距離を移動しているようです。彼らのCloudflareの使用は、ランダムなペイロードURLを生成し、作業が危うくなった場合にオペレーションを再構築する革新的な方法を探していることを示しています。

読み込んでいます...