概要:高度なマルウェア「SHADOW#REACTOR」の脅威
セキュリティ研究者たちは、SHADOW#REACTORと名付けられた巧妙な多段階マルウェアキャンペーンを特定しました。このマルウェアは、難読化されたVBS (Visual Basic Script) の実行、復元力のあるPowerShellステージャー、テキストのみのペイロード配信メカニズム、そして.NET Reactorで保護されたインメモリローダーを連鎖させることで、検出や分析を巧みに回避しながらRemcos RATを展開します。
初期感染メカニズム:VBScriptからPowerShellへの橋渡し
初期感染は、通常、ソーシャルエンジニアリングの手口で配信される悪意のあるVBScriptをユーザーが実行することから始まります。このスクリプトは、最終的なRemcosペイロードを完全にメモリ内で再構築し実行するための、一連の実行ステージの最初の段階を起動します。
感染は、侵害されたインフラストラクチャにホストされている難読化されたVBScriptの取得と実行から開始されます。このスクリプトはwscript.exeを介してエラー抑制付きで実行され、意図的なプレースホルダー文字による破損を含む、高度に難読化されたBase64エンコードのPowerShellペイロードを構築します。VBSは悪意のある機能を直接埋め込むのではなく、最小限の実行ブリッジとして機能し、次のステージを完全にメモリ内で正規化、デコード、実行するインラインコマンドを持つPowerShellを起動します。
この侵入経路は、脅威アクターがコモディティのスクリプト言語と最新の難読化技術、そして「Living-Off-the-Land Binary (LOLBin)」の悪用を組み合わせて、企業や中小企業環境での足がかりを確立し続けていることを示しています。この多層ブートストラップにより、wscript.exeは通常よりも長いコマンド文字列でpowershell.exeを起動し、VBS自体には最小限の静的インジケータしか残しません。
復元力のあるPowerShellステージングパイプライン
デコードされたPowerShellステージャーは、制御されたダウンロードおよび検証ループを実装しており、定義済みの最小サイズしきい値に達するまでリモートコンテンツを繰り返しフェッチします。このアプローチにより、ペイロードの更新をリモートで管理できるだけでなく、部分的なダウンロードや失敗したダウンロードにも対応できます。
- ステージャーは、攻撃者のインフラストラクチャからアーキテクチャ固有のリソース(64ビットプロセス用には
qpwoe64.txt、32ビットプロセス用にはqpwoe32.txt)を選択します。 - ダウンロードされたコンテンツはUTF-8エンコーディングを使用して
%TEMP%ディレクトリに書き込まれます。 qpwoeファイルが期待されるサイズ基準を満たすと、ステージャーは動的にセカンダリPowerShellスクリプト(jdywa.ps1)を構築します。jdywa.ps1はステージングファイルを読み取り、カスタム変換を適用し、コンテンツをBase64デコードしてバイト配列にし、組み込みのReflection APIを使用して結果の.NETアセンブリをリフレクションロードします。- その後、
MyLibrary.Helper.Ruseysn()メソッドが呼び出されます。
.NET Reactorで保護されたローダー
変換されたコンテンツは、.NET Reactorで保護された.NETアセンブリに解決されます。.NET Reactorは、中間言語コードをネイティブマシンコードに変換し、制御フローの難読化、文字列暗号化、および改ざん防止チェックを適用する商用コード保護ツールです。これにより、静的分析が著しく困難になり、自動サンドボックス分析も複雑化します。
このReactorで保護されたローダーは、すべて後続のアクションを調整する中間ステージの実行コントローラーとして機能します。人間が読める文字列は、ローリングキーを使用したシードXOR暗号化を実装するカスタム文字列復号化によって隠蔽されます。ローダーはパスの難読化、オプションのアンチ分析チェックを実行し、teste32.txtまたはteste64.txtリソースを介して攻撃者のインフラストラクチャから次のインメモリ.NETステージを取得します。設定データは、aurieパラメーターとして渡される難読化されたURLを通じて別途取得されます。
最終ペイロード:Remcos RATとMSBuildによるハンドオフ
復号化された設定データの分析により、最終的なペイロードがRemcos RATであることが確認されました。Remcos RATは、脅威アクターによって悪用されている市販のリモート管理ツールです。ローダーはMSBuild.exeへの完全なパスを構築し、デコードされた.NETアセンブリと設定ブロブの両方をMyApp.Program.wibqqw()へのパラメーターとして渡します。これにより、信頼されたMicrosoft署名コンポーネントであるMSBuildが活用され、通常のシステムアクティビティを装って最終ペイロードが実行されます。
SHADOW#REACTORの脅威性
SHADOW#REACTORフレームワーク全体は、比較的一般的なコモディティツールが高度にモジュール化されたローダースタック内でどのように運用され、ステルス性と防御側の摩擦を大幅に増加させるかを示しています。各ステージは段階的に複雑さを増し、攻撃者が個々のコンポーネントを独立して更新する柔軟性を与えます。これにより、このキャンペーンは、日和見的なソーシャルエンジニアリングによる配信メカニズムを通じて、企業環境に対して大規模に運用されることが可能になります。