Snip3 Loader

Morphisecの研究者は、「Snip3」クリプターと名付けた、新しい脅威的で高度なマルウェアの脅威を発見しました。この脅威はCryptor-as-a-Serviceスキームで提供され、侵害されたマシンの最終ペイロードとして多数のRAT（リモートアクセストロイの木馬）株を配信する進行中の攻撃キャンペーンで使用されています。 Snip3ローダーの最も強力な機能は、「remotesigned」パラメーターを使用したPowerShellコードの実行、ステージングにPastebinとtop4topを使用する、実行時にrunPEローダーをコンパイルする、など、いくつかの高度な手法に基づく検出回避機能と分析防止機能です。 WindowsサンドボックスとVMWareの仮想化を確認します。

攻撃チェーンは複数の段階で構成されており、最初の攻撃ベクトルはフィッシングメールを通じて広められます。ルアーメッセージは、ターゲットユーザーをだまして、破損したVisualBasicファイルをダウンロードさせようとします。場合によっては、攻撃者は代わりに大きなインストールファイルを使用してマルウェアツールの配信を隠していました。

Snip3攻撃の初期段階

第1段階では、マルウェア攻撃の次の段階である第2段階のPowerShellスクリプトの準備と初期化を担当するVBスクリプトを展開します。 Infosecの研究者は、11のサブバージョンとともに4つのメインバージョンのVBスクリプトを特定することに成功しました。 4つのバージョンの違いは、次世代のPowerShellをロードするために使用される正確な方法ですが、サブバージョンはさまざまな難読化タイプを採用しています。この初期段階で、攻撃者は一部のバージョンで見られるかなりユニークな手法を実装していることに注意してください。スクリプトは、コマンドとして「-RemoteSigned」パラメーターを使用してPowerShellを実行します。

Snip3操作の第2段階

第2段階は、主にマルウェアが仮想環境で実行されていないことを確認することを中心に展開されます。すべてが期待の範囲内にあると思われる場合、PowerShellスクリプトは次にRUnPEをロードして、中空のWindowsプロセス内で選択されたRATペイロードを反射的に実行します。

Snipe3は、実際に見られる通常のコードと比較して、Microsoft Sandboxを検出できない場合に備えて、追加のVM対策を備えています。 VMWare、VirtualBox、Windows Sandboxなどの潜在的なVMを確認するために、PowerShellスクリプトはManufacturer文字列を抽出し、ハードコードされた文字列のリストと比較します。 Sandboxie環境を検出するために、マルウェアはSbieDll.dllという名前のDLLへのハンドルを解決しようとします。 VMが見つかった場合、マルウェアはRATペイロードを配信せずに操作を終了します。

RAT脅威の展開

Snip3の操作の最終段階では、脅威が選択されたRATマルウェアを感染したシステムに配信します。配信メカニズムは、他の脅迫キャンペーンで一般的に見られるものとは異なります。 Snip3は、実行時にコンパイルされる埋め込み圧縮（GZIP）ソースコードを実行することにより、ステルス性を2倍にします。このソースコードは、NYAN-x-CATという名前のGitHubリポジトリからのrunPEの変更バージョンのようです。

これまでのところ、Snip3によって最終的なペイロードとしていくつかのRAT脅威がドロップされることが観察されています。ほとんどの場合、展開される脅威はASyncRATまたはRevengeRATです。しかし、Snip3変種が配信しているとき場合があったAgentTeslaまたはNetWire RATを。

組織は、開示されたIoC（Indicators-of-Compromise）を考慮し、検出中心のソリューションを簡単にバイパスできるようにするSnip3の機能を考慮する必要があります。