GHOSTFORM RAT

GHOSTFORMは、複数の悪意ある機能を単一の実行バイナリに統合する.NETベースのリモートアクセス型トロイの木馬（RAT）です。このマルウェアはPowerShellスクリプトをメモリ内で直接実行するため、従来のセキュリティツールによる検出の可能性を低減します。さらに、セキュリティ対策を回避するために、非表示のWindowsフォームや実行タイマーの遅延といった手法も用います。ステルス性に優れ、幅広い機能を備えているため、GHOSTFORMが検出された場合は、直ちに削除とインシデント対応を実施する必要があります。

攻撃チェーン1：多段階のマルウェア展開

最初の攻撃チェーンは、WinRARに似せて設計された偽のアプリケーションを含む、パスワード保護されたRARアーカイブの配信から始まります。被害者がアーカイブを開くと、SPLITDROPと呼ばれるドロッパーが実行されます。このドロッパーは、TWINTASKとTWINTALKという2つのマルウェアコンポーネントを追加インストールします。

SPLITDROPは、まず被害者にパスワードを要求し、隠されたアーカイブを抽出します。アーカイブが既にシステム上に存在する場合、実行は停止します。そうでない場合、ドロッパーは埋め込まれたペイロードをバックグラウンドで復号し、ユーザーに偽のエラーメッセージを表示します。復号されたコンテンツは「C:\ProgramData\PolGuid」ディレクトリに保存され、その後、VLC.exeという名の正規の実行ファイルが起動され、攻撃が続行されます。

VLC.exe が実行されると、DLL サイドローディングを通じて TWINTASK と呼ばれる悪意のあるダイナミックリンクライブラリが読み込まれます。このコンポーネントは攻撃者からの指示を待機し、PowerShell を使用して実行します。システム内での永続性を確立し、次の段階の侵害を開始するために、いくつかのコマンドが特に使用されます。このプロセスの一環として、スクリプトが WingetUI.exe を起動し、レジストリエントリを作成します。これにより、システムの再起動時に VLC.exe と WingetUI.exe の両方が自動的に実行されるようになります。

TWINTALKとTWINTASK: 協調コマンド実行

WingetUI.exe が実行されると、TWINTALK と呼ばれる別の悪意のあるモジュールがロードされます。このコンポーネントは攻撃者のコマンド＆コントロールサーバーに接続し、命令を取得します。TWINTALK は TWINTASK と連携して、侵入先のマシン上でコマンドを実行します。

TWINTALK は、主に 3 つのコマンド カテゴリをサポートしています。

• 感染したデバイス上でのコマンド実行
• 攻撃者のインフラストラクチャからのファイルのダウンロード
• 侵害されたシステムから攻撃者へのファイルのアップロード

これらの機能を通じて、攻撃者は感染した環境を広範囲に制御できるようになります。

攻撃チェーン2：GHOSTFORMの直接実行

2つ目の攻撃チェーンでは、GHOSTFORM自体を使用して、最初のチェーンの複数のコンポーネントが処理するすべての機能を実行します。この亜種は、複数のファイルを展開したりDLLサイドローディングに頼ったりする代わりに、PowerShellコマンドをメモリ内で直接実行します。

このマルウェアは、検出されないよう、ペイロードの実行前に実行を遅らせる目に見えないWindowsフォームを作成します。さらに、このキャンペーンでは、ソーシャルエンジニアリングのルアーの一部としてGoogleフォームを使用し、被害者に悪意のある活動を開始させようとします。

回避と持続のテクニック

GHOSTFORMは、検出を回避し、侵害されたシステムへの長期的なアクセスを維持するための複数のメカニズムを備えています。このマルウェアは、ほぼ目に見えないWindowsフォームを生成し、ランダムに決定される遅延時間でタイマーを実行してから実行を再開することで、意図的に活動を遅らせます。

また、システム上でマルウェアのインスタンスが1つだけ実行されるようにミューテックスを作成し、感染マシンを追跡するための一意のボットIDを生成します。このタイプのリモートアクセス型トロイの木馬は、追加のペイロードを展開したり、機密データやファイルを盗んだり、被害者の環境内でその他の悪意のある操作を実行したりするためによく使用されます。

キャンペーンに一般的に関連付けられている主な機能は次のとおりです。

• 追加のマルウェアペイロードの展開
• 感染したデバイスからの情報やファイルの盗難
• PowerShell によるリモート コマンド実行
• 侵害されたシステム内での長期的な持続

ClickFixソーシャルエンジニアリング：人間を標的とした感染ベクトル

このキャンペーンはマルウェアの配信だけに頼っているわけではありません。ClickFix と呼ばれるソーシャルエンジニアリングの手法も取り入れ、システムを侵害します。攻撃者は、ユーザーを誘導して悪意のあるコマンドを実行させることを目的とした、説得力のある偽のWebページを作成します。

例としては、偽装されたCisco Webexの会議招待状や、正規のフォームを装った不正なウェブフォームなどが挙げられます。被害者は、マルウェアを自動的にダウンロードして実行するコマンドを実行するよう指示され、知らないうちに侵入を開始してしまいます。

マルウェアと欺瞞の融合

このキャンペーンは、技術的なマルウェア展開と心理的操作を組み合わせた組織的なアプローチを実証しています。攻撃者は、WinRARユーティリティに似た無害なプログラムを装った悪意のあるファイルを配布します。ファイルを開くと、隠されたマルウェアコンポーネントがオペレーティングシステムに挿入されます。

インストールされると、コンポーネントの1つがバックグラウンドで静かに実行され、攻撃者のサーバーを定期的にチェックして暗号化された命令を探し、PowerShellを介して実行します。同時に、ClickFix型の攻撃では、偽のアンケート、偽の会議招待、または不正なオンラインフォームを利用して、ユーザーにマルウェアのダウンロードを誘発するコマンドを実行させます。

TWINTASK、TWINTALK、GHOSTFORM などの高度なマルウェア ツールと綿密に作成されたソーシャル エンジニアリング手法を組み合わせることで、脅威の攻撃者はシステム侵害の成功率を大幅に高め、感染したデバイスに対する永続的なリモート制御を維持します。