OneClikは、攻撃キャンペーンにつけられた名称です。
MicrosoftのClickOnceの機能を悪用する形で展開されます。
- ClickOnceの悪用
ClickOnceは、ユーザによる操作を最小限に抑えながらWindowsベースのアプリケーションをインストールおよび更新するための手段としてMicrosoftによって提供されています。
このテクノロジーは、セキュリティ上の脅威を検知されることなく悪意のあるペイロードを実行したい攻撃者にとって魅力的な手段となり得ます。
ClickOnceアプリケーションは限定的な権限しか与えられない状態でも意図した利用ができるようになっていますので、これを利用する場合インストールに管理者権限は必要ありません。
つまり、攻撃者は権限を昇格させることなく、ClickOnceを悪用して悪意のあるコードを代理実行する可能性があります。 - 検出回避機構の追加実装
このマルウェアキャンペーンでは、短い期間に複数回のコードの変更が確認されています。
その変更のたびに、検出回避機構が追加されています。
マルウェアローダーがロードされたモジュールをメモリ内で再配置することで検出を回避する、ローダーは定期的にデバッガーをチェックする専用スレッドを起動する、サンドボックス/VMフィンガープリンティングを実行する、などです。 - C2設置環境の難読化
このキャンペーンでのC2は、通常のホストには設置されていません。
正規のAWSサービスを利用して難読化しています。
CloudFrontの機能とAPI Gatewayエンドポイントを利用する構成にすることで、通常のCDN(Contents Delivery Network)であるかのように見える構成になっています。
AWSで動いているサービスは許可される設定になっていることが期待しやすいですし、攻撃者のエンドポイントとIPアドレスを隠蔽しています。
この攻撃キャンペーンは、多段階で攻撃が進んでいく構造になっていますが、その多くの段階で現地にある機構を悪用するような仕組みに組み立てられています。
環境寄生型戦術というような言い方をする兆候がどんどん強くなってきているということかもしれません。
この攻撃キャンペーンそのものは現時点では特定の対象組織がターゲットとなったものですが、それで安心するのではなく、注意が必要に思えます。
OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure
https://www.trellix.com/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/
| この記事をシェア |
|
|---|
