Edgecutionは、Payouts Kingが展開している、非常に巧妙な新種のマルウェアフレームワークです。
Payouts Kingはイニシャルアクセスブローカーです。
一般的なマルウェアや、これまでの標準的なブラウザ拡張機能型マルウェアと異なり、Edgecutionが特異とされるポイントをみてみましょう。
- ブラウザの「サンドボックス」を正規機能で合法的に突破する
従来のブラウザ拡張機能型マルウェアは、ブラウザが持つ「サンドボックス(安全な隔離領域)」の中に閉じ込められるため、OS(システム全体)へ直接命令を下すことが困難でした。
しかしEdgecutionは、「Chrome Native Messaging(ネイティブメッセージング)」という、拡張機能がローカルのOS上のアプリケーションと通信するためのGoogle/Microsoft正規の仕組みを悪用します。
これにより、脆弱性を突くことなく合法的にサンドボックスの制限をすり抜け、ブラウザの拡張機能用のサンドボックスの中からローカルのOS部分に配置したPythonバックドアへと特権コマンドをリレー(中継)して実行させます。 - 「ヘッドレスモード(画面非表示)」による完全なステルス動作
一般的な悪意ある拡張機能は、ユーザーが普段使っているブラウザに寄生し、画面上の操作を監視したりセッションを盗んだりします。
これに対しEdgecutionは、初期侵入スクリプトによって「隠しEdgeプロファイル」を勝手に作成し、タスクスケジューラを用いて「ヘッドレスモード(画面を表示しないモード)」でEdgeをバックグラウンド起動させます。
ユーザの画面には一切Edgeのウィンドウが表示されないため、ブラウザがマルウェアの実行環境として背後で悪用されていることにユーザは全く気付けません。 - 「ブラウザ拡張機能」と「Pythonバックドア」のハイブリッド構造
通常のバックドアは単一の実行ファイル(.exeなど)として動くため、EDR(エンドポイント検知・対処)製品にプロセスや挙動を検知されやすいという弱点があります。
Edgecutionは、「C2(攻撃指令サーバー)との通信役 = Edge拡張機能(WebSocket使用)」と、「OSの操作役 = ローカルのPythonバックドア」というように、役割を完全に分断しています。
C2からの命令はすべて信頼されたブラウザプロセス(Edge)を経由して届くため、ネットワーク監視ツールからは「通常のWebトラフィック(AWSのCloudFrontなどへの通信)」に見え、従来の防御網をすり抜けるよう設計されています。 - 痕跡を徹底的に隠蔽する巧妙なデプロイ手法
侵入の起点にはMicrosoft Teamsを用いたITスタッフへのなりすましが使われますが、その後の設置プロセスも執拗です。
正規のユーティリティである「AutoHotKey」の実行ファイルを悪用してスクリプトを動かし、さらに暗号化されたマルウェア本体の復号キーをWindowsのレジストリに隠して保存します。
このように静的・動的なセキュリティスキャンを徹底的に回避する仕組みが何重にも施されています。
Edgecutionの最大の特徴は、Microsoft Edgeを画面に映らないサイレントな「バックドアの通信プロキシ」へと変貌させる点にあります。
セッション強盗などの「ブラウザ内」で完結する従来のマルウェアとは異なり、ブラウザを足がかりにシステム全体の制御権(PowerShell実行やファイル書き込みなど)を奪う極めて高度な設計です。
この動作を、ブラウザやOSの脆弱性を一切使わずに「業務や開発に必要な正規の仕様」だけで実現している点が非常に厄介です。
メーカによる修正パッチでの対策や、仕様そのものの禁止が難しいため、セキュリティ製品(EDRなど)にとっても正規の挙動との見分けが極めて困難な、防御側泣かせの脅威となっています。
Payouts King Ransomware Initial Access Broker Deploys New Edgecution Malware
https://www.zscaler.com/blogs/security-research/payouts-king-ransomware-initial-access-broker-deploys-new-edgecution
| この記事をシェア |
|
|---|
