AppDomainManagerインジェクションってなんでしょう。
これまであまり使われていなかった攻撃手法なのですが、徐々にこれを使った活動が確認されてきています。
最近観測された新しいマルウェアもこの手法を使用していました。
- 入口は多分メール
VeilShellという新しいバックドア型トロイの木馬の活動が確認されています。
このマルウェアの攻撃の入り口ははっきりとは確認されていませんが、フィッシングメールから始まると考えられています。 - zipファイル
マルウェアの感染はzipファイルを開くところから始まります。
このzipはメールで展開されるのでしょう。 - LNKファイル
zipの中をみると、Excelファイルに見えるものが含まれています。
これはExcelのLNKファイルの体裁になっています。
しかし、これを開くと、Powershellが起動され、埋め込まれている次の段階のコンポーネントをデコードして抽出します。
LNKファイルはドロッパーを実行したということになります。
ドロッパーは攻撃に使用するファイルを抽出し、スタートアップフォルダに書き込みます。 - おとりのExcelドキュメント
LNKのクリック後にいくつもの仕込みが行われますが、画面的には、おとりとして用意したExcelドキュメントを表示します。
Excelに見えるものをダブルクリックしたら画面にExcelが表示された、という流れに見えますので、カモフラージュは成功ということになりそうです。 - AppDomainManagerインジェクション
マルウェア部分の中身の活動が始まるのは、仕込みが完了してしまったPCのOSが再起動されたときです。
OSの再起動時に、設置されたスタートアップの中のexeが実行されます。
このとき、AppDomainManagerインジェクションが使われます。
これは攻撃者が.NETアプリケーション内で任意のコードを実行するのに利用されるローダハイジャック手法です。
これまで多くのマルウェアでDLLサイドローディングが使われてきましたが、その代替として悪用が広まってきている手法です。 - VeilShell
最終的に侵害環境に展開されるのはVeilShellです。
VeilShellはPowerShellベースのマルウェアで、C2サーバに接続してコマンドを待ちます。
用意されたコマンドは、ファイルに関する情報収集、特定フォルダーをZIPアーカイブに圧縮してC2サーバーにアップロード、指定されたURLからファイルをダウンロード、ファイルを名前変更や削除などです。
攻撃手法はどんどん新しいものが出てきます。
SHROUDED#SLEEP: A Deep Dive into North Korea’s Ongoing Campaign Against Southeast Asia
https://www.securonix.com/blog/shroudedsleep-a-deep-dive-into-north-koreas-ongoing-campaign-against-southeast-asia/
この記事をシェア |
---|