レジストリでペイロードを永続化するDarkWatchman

ほぼこもセキュリティニュース By Terilogy Worx

またもや新しいマルウェアが観測されています。
そしてこのマルウェアには新しい作戦が含まれていました。

マルウェアの配置した後、それをOS起動時に自動起動させる目的でレジストリが利用されることはよくあるように思われます。
しかし、DarkWatchmanのレジストリの利用はそれだけではありませんでした。
こんなことになっています。

  • フィッシングメールを受信する
  • メールにはテキストドキュメントのアイコンが設定された小さなファイルが添付されている
  • そのファイルは、自己インストール型のWinRARアーカイブの形式になっている
  • ファイルを開くと、JavaScriptでメッセージが表示されて終わるように見える
  • メッセージを表示する裏側で、レジストリに攻撃のための準備を保存する
  • 同じくレジストリに、DarkWatchmanが自動起動されるように設定される
  • DarkWatchmanが起動すると、レジストリに保存されたPowerShellスクリプトを実行する
  • PowerShellスクリプトのなかには、難読化されたキーロガーのソースコードが含まれている
  • PowerShellスクリプトはキーロガーをコンパイルし、メモリ上で起動する
  • 盗み出したキー入力内容は一旦レジストリに保存される
  • 保存したキー入力内容はDarkWatchmanがC&Cに送信する
  • 送信先のC&Cはドメイン生成アルゴリズムで生成して利用される機構となっており、送信先の特定が容易ではないようにする

実に高機能なファイルレス攻撃です。
これらの機能に加えて、EXEファイルの実行やDLLのなかの関数の実行、各種OSコマンドなどの実行、シャドウコピーの削除機能なども実装されています。

DarkWatchmanを足掛かりに、新しい大きな攻撃キャンペーンの展開が始まってしまうのかもしれません。

参考記事(外部リンク):New stealthy DarkWatchman malware hides in the Windows
Registry

www.bleepingcomputer.com/news/security/new-stealthy-darkwatchman-malware-hides-in-the-windows-registry/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。