HCryptを使用した新しいキャンペーンが観測されています。
HCryptは検出が難しいと考えられている暗号化機構および多段ジェネレーターです。
これは、脅威アクターが選択したRAT(リモートアクセストロイ)をロードすることがでます。
キャンペーンはこんな流れで進みます。
- フィッシングメールかWebサイトかを閲覧させる
- そこに、ISOファイルが置いてある
- ISOファイルを入手させ、開かせる
いまどきのWindowsはISOファイルを簡単に開くことができます。
しかも、ISOはファイルサイズが大きくなりやすく、結果としてアンチウイルス機構で検査されません。 - 難読化されたVBScriptステージャーが実行される
- 次のステージ用のVBScriptが感染したシステムメモリにダウンロードして実行される
- 難読化されたPowerShellスクリプトがシステムで動作するプロセスに挿入される
- PowerShellスクリプトは各種ペイロードを展開する
NjRat、BitRat、Nanocore RAT、QuasarRat、LimeRat、Warzone、など
これらの動きの中で、ファイルとしてあるものは、ステージャーが含まれるISOファイルと、永続化のためのVBscriptのみです。
悪意のあるコードの部分は全部リモートから持ってきて、メモリ上で使用されます。
永続化のためのVBscript機構は、OS起動時に動作する場所に置かれています。
PCが起動するたびに、指定されたURLから最新のペイロードを持ってきて展開します。
このような方式で動作しますので、このキャンペーンの構造は、ペイロードもC2も変更しやすいと言えそうです。
つまり足が付きにくい、ということになります。
このHCryptの開発はまだアクティブです。
より一層展開できるペイロードの種類が増える方向に拡張されるかもしれませんし、より難読化が進む方向になってくるかもしれません。
しかし、いずれにしても、この攻撃は、フィッシングメールとWebサイトで配布されているISOファイルの入手から始まります。
マルウエアがいかに巧妙化されようと、そのような怪しいISOを入手しない限りは安全だ、といえる気もします。
いったいどんな魅力的な誘い方でISOファイルの入手をさせようとしてくるのでしょうか。
ファイルの入手には注意が必要と言えそうです。
対策はなるべく上流で実施することが効果的です。
注意をしすぎるということはないのだろうな、と思いました。
参考記事(外部リンク):Water Basilisk Uses New HCrypt Variant to Flood Victims with
RAT Payloads
www.trendmicro.com/en_us/research/21/i/Water-Basilisk-Uses-New-HCrypt-Variant-to-Flood-Victims-with-RAT-Payloads.html
| この記事をシェア |
|
|---|
