TicTacToe Dropper

ほぼこもセキュリティニュース By Terilogy Worx

TicTacToe Dropperは、名前の通り、ドロッパー型マルウェアです。
動作を開始すると、動作環境にマルウェアを持ってきて動かします。
TicTacToe Dropperには、多くの種類のサンプルが確認されています。
細かな内部の実装が異なるということもあるのですが、そもそものドロップするマルウェアの種類が多数あります。
1回の感染で多数をドロップするということではなく、このサンプルはこれをドロップする、という具合です。

TicTacToe Dropperがドロップする最終的なマルウェアには、こういったものがあります。
Leonem、AgentTesla、SnakeLogger、RemLoader、Sabsik、LokiBot、Taskun、Androm、Upatre、Remcosなどです。

このTicTacToe Dropperの内部の実装にはいくつもの違いがありますが、これは頻繁な開発による変更があるということかもしれません。
基本的な内部構造は共通しています。
どんな動作や特徴があるのかというと、こういう感じです。

  • 多段階にレイヤー化されたペイロードを展開する
  • ドロッパーペイロードのファイル形式は、すべての .NET 実行可能ファイル/ライブラリになっている
  • 多段階の抽出プロセスのなかに、少なくとも1つのSmartAssemblyソフトウェアを使用して難読化されたペイロードが含まれる
  • 難読化されたペイロードを解凍するために、DLLファイルが何段階にもネストして使用される
  • 最終ペイロードを含むすべてのペイロードステージは反射型DLLインジェクションによってロードされる
    反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能になる。
    ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的な動作となる。
  • ほとんどのプライマリ.NETペイロードには、3~8文字の組み合わせからなる内部名があった
  • 多くのサンプルには、配信された月の共通の文字列があった (例:Kolko_i_krzyzyk、MatrixEqualityTestDetail、Kakurasu など)
  • サンプルの中には、自分自体のコピーを作成しようとするものもあった

このマルウェアは、フィッシング経由のisoファイルの配布から始まります。
これにより、Mark of the Webを回避できますし、最終のペイロードには多くの種類があります。
TicTacToe Dropperの部分も、開発が頻繁なようです。
これらが相まって、HASH的なアプローチでの対応は困難といえそうです。

このマルウェアがMaaSとして展開されていることはまだ確認されていませんが、観測状況から考えて、単独の脅威アクターの活動であるとは考えにくいものとなっています。
また厳しいマルウェアがMaaSとして展開されてきているということに思えます。

参考記事(外部リンク):TicTacToe Dropper
www.fortinet.com/blog/threat-research/tictactoe-dropper

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。