二重ペイロード型マルウェアキャンペーン
新たに発見されたマルウェア攻撃は、2種類の異なる脅威を同時に展開できる能力を持つことから、サイバーセキュリティコミュニティ内で大きな注目を集めている。単一の難読化ローダーを用いて、Gh0st RATとCloverPlusの両方を同じ侵害システムに送り込むのだ。
この組み合わせは、珍しいだけでなく、非常に戦略的です。Gh0st RATは感染したマシンを完全にリモート制御できる一方、CloverPlusはブラウザのアクティビティを操作し、広告コンポーネントを挿入し、迷惑なポップアップを通じて収益を生み出すことに重点を置いています。この二重展開により、攻撃者は感染をリアルタイムで収益化しながら、永続的な不正アクセスを維持することができます。
このキャンペーンは、攻撃者が単一の侵害から運用効率と経済的利益を最大化する、複数のペイロードを配信する傾向が強まっていることを浮き彫りにしている。
目次
難読化戦術:ペイロードの隠蔽
この攻撃キャンペーンの中核となるローダーは、ステルス性を重視して設計されている。従来の検出メカニズムを回避するため、難読化技術を用いて、リソースセクション内に2つの暗号化されたペイロードを埋め込んでいる。
実行は、AdWare.Win32.CloverPlusという名称で識別され、wiseman.exeという実行ファイルに関連付けられたCloverPlusアドウェアモジュールから始まります。このコンポーネントはブラウザの起動設定を変更し、しつこいポップアップ広告を挿入します。
続いて、ローダーは実行パスを評価します。システムの %temp% ディレクトリ以外から実行されている場合は、処理を進める前にそこに自身のコピーを作成します。次の段階では、マルウェアバイナリ内に暗号化されたリソースとして隠されている Gh0st RAT クライアントモジュールを復号化します。
復号化されると、マルウェアはペイロードにランダムなファイル名を割り当て、Cドライブのルートにあるランダムな名前のフォルダに保存するため、検出と分析がさらに困難になります。
土地に根ざした生活:信頼できる道具、悪意
復号化されたペイロードを実行するために、このマルウェアは正規のWindowsユーティリティであるrundll32.exeを利用します。この手法により、信頼できるシステムプロセスを装って悪意のあるコードを実行することが可能になり、セキュリティ対策が作動する可能性を大幅に低減します。
Gh0st RATは起動すると、MACアドレスやハードドライブのシリアル番号などの固有識別子を収集することで、侵害されたシステムのプロファイリングを開始します。これらの情報は、攻撃者のコマンド&コントロールインフラストラクチャに被害者を登録するために使用され、感染したホストの正確な追跡と管理を可能にします。
永続性メカニズム:長期アクセスを確保する
システム再起動後もアクセスを維持することは、このキャンペーンの重要な目的です。Gh0st RATは、オペレーティングシステムの奥深くに組み込まれた複数の技術によって永続性を実現します。
WindowsのRunレジストリキーを変更して、起動時に自動実行されるようにします。
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip の下のリモート アクセス サービス パス内に悪意のある DLL を登録する
これらの手法は、関連するサービスが起動されるたびにマルウェアにSYSTEMレベルの権限を付与するため、ユーザーによるさらなる操作が不要になり、長期的な制御が強化されます。
検知と防御:侵害の兆候
このキャンペーンの影響は、個人と組織の両方にとって甚大です。アドウェアはブラウザの機能を阻害し、悪質な広告への露出を増加させる一方、RAT(リモートアクセスツール)はデータ窃盗、キーストローク記録、セキュリティ回避、および永続的な特権アクセスを可能にします。
セキュリティチームは警戒を怠らず、以下の侵害の兆候を監視する必要があります。
- rundll32.exe の実行により、通常とは異なるディレクトリまたは疑わしいディレクトリから DLL または非標準のファイル拡張子が読み込まれる。
- %temp%フォルダから発生したプロセスアクティビティ
- レジストリの実行キーまたはリモートアクセスサービス構成への不正な変更
- ピングベースの遅延を利用してサンドボックス検出を回避する
- 異常なDNSトラフィックパターンとシステムホストファイルへの予期せぬ変更
この高度な二重脅威マルウェアキャンペーンによってもたらされるリスクを軽減するには、これらの兆候を積極的に監視し、迅速に対応することが不可欠です。
