ほぼファイルレスアタック

HCryptを使用した新しいキャンペーンが観測されています。
HCryptは検出が難しいと考えられている暗号化機構および多段ジェネレーターです。
これは、脅威アクターが選択したRAT(リモートアクセストロイ)をロードすることがでます。

キャンペーンはこんな流れで進みます。

  • フィッシングメールかWebサイトかを閲覧させる
  • そこに、ISOファイルが置いてある
  • ISOファイルを入手させ、開かせる
    いまどきのWindowsはISOファイルを簡単に開くことができます。
    しかも、ISOはファイルサイズが大きくなりやすく、結果としてアンチウイルス機構で検査されません。
  • 難読化されたVBScriptステージャーが実行される
  • 次のステージ用のVBScriptが感染したシステムメモリにダウンロードして実行される
  • 難読化されたPowerShellスクリプトがシステムで動作するプロセスに挿入される
  • PowerShellスクリプトは各種ペイロードを展開する
    NjRat、BitRat、Nanocore RAT、QuasarRat、LimeRat、Warzone、など

これらの動きの中で、ファイルとしてあるものは、ステージャーが含まれるISOファイルと、永続化のためのVBscriptのみです。
悪意のあるコードの部分は全部リモートから持ってきて、メモリ上で使用されます。

永続化のためのVBscript機構は、OS起動時に動作する場所に置かれています。
PCが起動するたびに、指定されたURLから最新のペイロードを持ってきて展開します。
このような方式で動作しますので、このキャンペーンの構造は、ペイロードもC2も変更しやすいと言えそうです。
つまり足が付きにくい、ということになります。

このHCryptの開発はまだアクティブです。
より一層展開できるペイロードの種類が増える方向に拡張されるかもしれませんし、より難読化が進む方向になってくるかもしれません。

しかし、いずれにしても、この攻撃は、フィッシングメールとWebサイトで配布されているISOファイルの入手から始まります。
マルウエアがいかに巧妙化されようと、そのような怪しいISOを入手しない限りは安全だ、といえる気もします。

いったいどんな魅力的な誘い方でISOファイルの入手をさせようとしてくるのでしょうか。

ファイルの入手には注意が必要と言えそうです。
対策はなるべく上流で実施することが効果的です。
注意をしすぎるということはないのだろうな、と思いました。

参考記事(外部リンク):Water Basilisk Uses New HCrypt Variant to Flood Victims with
RAT Payloads

www.trendmicro.com/en_us/research/21/i/Water-Basilisk-Uses-New-HCrypt-Variant-to-Flood-Victims-with-RAT-Payloads.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。