DeepLoadマルウェア
新たに確認された攻撃キャンペーンでは、ClickFixというソーシャルエンジニアリング手法を用いて感染が開始されます。被害者は、偽のシステム問題を解決するという名目で、悪意のあるPowerShellコマンドをWindowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう誘導され、コマンドを実行させられます。この最初のステップでは、正規のWindowsユーティリティであるmshta.exeを利用して、難読化されたPowerShellベースのローダーを取得して実行します。
目次
回避を目的とした難読化
PowerShellローダーは、過剰かつ無意味な変数割り当てによってその真の目的を隠蔽し、静的解析を著しく困難にしている。証拠によれば、この難読化レイヤーの構築には人工知能ツールが使用された可能性が高く、その高度化を促している。この手法により、マルウェアは従来の検出メカニズムを回避しつつ、動作の完全性を維持することが可能となる。
システムカモフラージュによるステルス性
DeepLoadは、標準的なWindows操作にシームレスに溶け込むように設計されています。ペイロードは、Windowsのロック画面を管理する正規のプロセスであるLockAppHost.exeという実行ファイル内に隠されています。さらに存在を隠蔽するため、このマルウェアはPowerShellコマンド履歴を無効にし、標準のPowerShellコマンドに頼るのではなく、Windowsのネイティブコア関数を直接呼び出します。この手法により、PowerShellアクティビティを追跡する監視システムを回避できます。
ファイルレス技術と動的ペイロード生成
検出を最小限に抑えるため、DeepLoadはディスク上に一貫した痕跡を残さないように設計されています。PowerShellのAdd-Type機能を使用してセカンダリコンポーネントを動的に生成し、C#コードをコンパイルしてユーザーのTempディレクトリに保存される一時的なDLLファイルを作成します。実行ごとに一意の名前のファイルが生成されるため、既知のシグネチャに依存するファイルベースの検出方法を効果的に回避できます。
秘密裏に実行するための高度な注入技術
主要な回避戦略の一つは、非同期プロシージャコール(APC)インジェクションの利用です。マルウェアは、正規のWindowsプロセスを一時停止状態で起動し、シェルコードをそのメモリに直接注入した後、実行を再開します。この方法により、悪意のあるペイロードは信頼できるプロセス内で実行され、デコードされたバージョンがディスクに書き込まれることがないため、フォレンジック調査における痕跡を大幅に削減できます。
持続的な認証情報窃盗メカニズム
DeepLoadは、実行時に機密性の高いユーザーデータを即座に抽出するように設計されています。その機能は以下のとおりです。
- 感染したシステムから保存されているブラウザのパスワードを直接収集する
取り外し可能な媒体を介した側方拡散
このマルウェアは、リムーバブルストレージデバイスを悪用するように設計された拡散技術を組み込んでいます。USBドライブなどのメディアを検出すると、正規のインストーラーを装った悪意のあるショートカットファイルをコピーします。これらのファイルは信頼できるように命名されているため、ユーザーが操作する可能性が高まり、さらなる感染につながります。
WMI乱用による静かな再感染
DeepLoadは、Windows Management Instrumentation(WMI)を使用して永続性を確立します。イベントサブスクリプションを作成し、3日間の遅延後に再感染をトリガーします。ユーザーの操作や攻撃者の関与は一切不要です。この手法は、想定される親プロセスと子プロセスの関係を破壊することで、従来の検出モデルを混乱させます。
戦略目標:キルチェーン全体の網羅
DeepLoadの全体的な設計は、サイバーキルチェーン全体にわたってアクションを実行できる多機能マルウェアフレームワークであることを示しています。その運用戦略は以下に重点を置いています。
- ディスクベースのアーティファクトを避けることで、検出機会を減らす
- 悪意のある活動を正規のWindowsプロセスに紛れ込ませる
- システム間で急速に拡散し、その影響力を拡大する
拡張可能な脅威フレームワークの指標
DeepLoadに関連するインフラストラクチャとモジュール設計は、共有型またはサービスベースの展開モデルの可能性を示唆している。これらの特徴はMalware-as-a-Service(MaaS)の提供内容と一致するものの、現時点ではこの分類を決定的に裏付ける十分な証拠はない。
