サイバーニュース.jp

世界のサイバーなニュースを配信

新たな多段階Windowsマルウェア、Microsoft Defenderを無効化し悪性ペイロードを展開

カテゴリ:

概要

ロシアのユーザーを標的とした高度な多段階マルウェアキャンペーンが確認されました。このマルウェアは、ソーシャルエンジニアリング、正規のクラウドサービス、およびWindowsネイティブ機能を悪用し、脆弱性を突くことなくシステムの完全な侵害を達成します。Microsoft Defenderを無効化し、監視体制を確立した上で、ランサムウェアやリモートアクセストロイの展開を行います。

初期感染とソーシャルエンジニアリング

攻撃は、ビジネス関連の文書を装った巧妙なアーカイブファイルから始まります。被害者は、通常の会計タスクに見せかけたロシア語のファイルを受け取りますが、このアーカイブには感染源となる悪意のあるLNKショートカットが含まれています。

このLNKショートカット(例:「Assignment_for_accountant_02department.txt.lnk」)が実行されると、PowerShellが起動され、GitHubから第一段階のローダーがダウンロードされます。攻撃はユーザーの操作に依存しており、企業環境で文書共有が日常的に行われている現状を悪用しています。

実行後、PowerShellローダーはコンソールウィンドウを抑制し、ユーザーの注意をそらすための偽のロシア語会計文書を表示します。その後、Telegram Bot APIを介して攻撃者に実行確認を送信し、444秒の遅延の後、難読化されたVBScriptペイロードを取得してWindows Script Hostを通じて隠されたウィンドウで実行します。

Windowsセキュリティの無力化

VBScriptオーケストレーター(SCRRC4ryuk.vbe)は、マルウェアがWindowsセキュリティを体系的に解体する重要な段階です。このペイロードは、Script Encoder Plusと多層Base64およびRC4復号化を使用してエンコードされており、コアロジックをメモリ内で再構築することで、ディスクベースの検出を回避します。

高影響度のペイロードを展開する前に、スクリプトは以下の複数の補完的な技術を使用してMicrosoft Defenderを無効化します:

  • HKLM\SOFTWARE\Policies\Microsoft\Windows Defender のレジストリポリシーを変更し、リアルタイム監視、動作分析、アーカイブスキャンを無効化。
  • ProgramDataProgram FilesDownloadsなどの一般的なステージングディレクトリにファイルシステム除外を追加し、以降のペイロードがDefenderのスキャン範囲外になるように設定。

さらに、マルウェアは「Defendnot」という調査ツールを展開します。これは、Windowsセキュリティセンターの信頼メカニズムを悪用し、DLLを信頼されたTaskmgr.exeプロセスに挿入し、偽のアンチウイルス製品を登録することで、Defenderの自動的な無効化をトリガーします。これは、正規のWindowsセキュリティアーキテクチャの巧妙な悪用です。

監視とシステムロックダウン

防御機能が無力化された後、攻撃は「Amnesia RAT」というデータ窃取型トロイの木馬を展開します。このRATは、Chromiumベースのブラウザを標的とし、Windows DPAPI復号化を通じてパスワード、Cookie、セッショントークンを窃取します。

特に、Telegram Desktopセッションを明示的にハイジャックし、tdataディレクトリを外部送信することで、資格情報なしでアカウントを完全に乗っ取ることが可能になります。また、クリップボードの内容を監視して仮想通貨のシードフレーズを傍受し、MetaMask、Electrum、Exodusなどのデスクトップウォレットを標的とします。

同時に、スクリプトはレジストリポリシーを通じて管理ツールを無効化することで、包括的なシステムロックダウンを実施します。タスクマネージャー、レジストリエディター、ファイル名を指定して実行ダイアログ、システム設定などがすべて無効化されます。さらに、Windows回復環境はreagentc /disableで無力化され、バックアップカタログは削除され、すべてのボリュームシャドウコピースナップショットが削除されることで、回復オプションが完全に排除されます。

ランサムウェア攻撃とデータ窃取

最終段階として、「Hakuna Matata」ランサムウェアが数百種類のファイル拡張子を暗号化し、感染したファイルの名前を@NeverMind12Fに変更します。ランサムウェアは、データベース、オフィス、メール、仮想化プロセスを終了させてから再スキャンし、暗号化の対象範囲を最大化します。

同時に、WinLockerコンポーネントが、2時間以内にTelegramでの連絡を要求するロシア語のメッセージを表示し、デスクトップを完全にロックアウトします。さらに、ランサムウェアはクリップボードハイジャック(ClipBanker)を実装しており、仮想通貨のウォレットアドレスを攻撃者が管理する値に置き換えることで、被害者が暗号化されたバックアップを所有している場合でも、金銭的な搾取を確実にします。

元記事: https://gbhackers.com/windows-malware-3/

投稿をさらに読み込む