“`json
{
“title”: “Notepad++攻撃の詳細:高度なマルウェアと実践的なIoCを明らかに”,
“content”: “
概要
中国のAPTグループ「Lotus Blossom」による複雑なスパイ活動が明らかになりました。2009年から活動しているこのグループは、人気のテキストエディタNotepad++の配信インフラを侵害し、これまで文書化されていなかったカスタムバックドア「Chrysalis」を展開しました。Chrysalisは広範なリモートアクセス機能を備えており、今回の攻撃は、カスタムマルウェアと既製のフレームワークを組み合わせた、巧妙なサイバー攻撃の進化を示しています。
攻撃経路の詳細
攻撃チェーンはIPアドレス 95.179.213.0 から始まりました。初期段階では notepad++.exe と GUP.exe が実行され、その後悪意のある update.exe ファイルがダウンロードされました。このNSISインストーラーは、Bitdefender Submission Wizardの実行ファイルを隠しディレクトリ %AppData%\\Bluetooth に展開し、DLLサイドローディングを悪用しました。実行されると、悪意のある log.dll が、線形合同生成器、FNV-1aハッシュ、MurmurHashファイナリゼーションを組み合わせた独自のアルゴリズムを使用してChrysalisバックドアを復号化しました。
Chrysalisバックドアの分析
Chrysalisバックドアは、15種類の異なるコマンド機能を実装した多機能なインプラントです。設定データはRC4キー “qwhvb^435h&*7” で暗号化されており、C2(コマンド&コントロール)URLは https://api.skycloudcenter.com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821 でした。このURLは正当なトラフィックに紛れるようにDeepseek APIのフォーマットを模倣しており、マレーシアのIPアドレス 61.4.102.97 に解決されます。バックドアは、標準的なブラウザトラフィックを装うために特定のユーザーエージェント “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.4044.92 Safari/537.36” を使用します。Chrysalisの機能には以下が含まれます:
- インタラクティブなリバースシェル(4T)
- リモートプロセス実行(4V)
- ファイル読み書き操作(4Y, 4W, 4X)
- 完全なファイル転送プロトコル(4c, 4d)
- 自己削除機能(4\\)
- ドライブ列挙(4_)
このマルウェアは、ミューテックス “Global\\Jdhfv_1.0.1” を使用して複数インスタンスの起動を防ぎ、Windowsサービス作成またはレジストリ変更を通じて永続化を確立します。
Chrysalisは、FNV-1a(定数 0x811C9DC5)とMurmurHashファイナリゼーション(0x85EBCA6B)を使用した、2つの高度なAPIハッシングルーチンを実装しています。文字列の難読化には、ビットローテーションとXOR操作を組み合わせた位置依存の文字変換が用いられています。メインモジュールはハードコードされたXORキー “gQ2JR&9;” をXOR、加算、減算操作を通じて5回適用します。
ローダーと追加の技術
調査では、Microsoftの未公開のWarbirdコード保護フレームワークを悪用するローダー ConsoleApplication2.exe も発見されました。このローダーは、NtQuerySystemInformation を SystemCodeFlowTransition パラメータ(0xB9)と共に呼び出し、Microsoft署名済みバイナリメモリ内で組み込みのMetasploit block_api シェルコードを実行します。この手法により、api.wiresguard.com/users/system からCobalt Strikeビーコンがダウンロードされました。また、不正なCソースコード conf.c を実行するために、リネームされたTiny-C-Compilerが使用されたことも判明しました。
シェルコードはローリングXOR復号化を利用して、http-get エンドポイント api.wiresguard.com/update/v1 および http-post エンドポイント api.wiresguard.com/api/FileUpload/submit を介してCobalt Strike HTTPSビーコンへの実行を転送します。さらに、Rapid7による脅威インテリジェンスの分析により、同じCobalt Strike設定と公開鍵を共有する4つの追加ローダーバリアントが特定され、調整されたキャンペーン活動が示唆されています。
帰属と進化
今回の攻撃がLotus Blossomに帰属されるのは、Symantecの調査との類似性、特にBitdefender Submission WizardのDLLサイドローディング技術と共有インフラの指標に基づいています。Chrysalisキャンペーンは、カスタムマルウェアと既製のフレームワークを組み合わせ、公開されたセキュリティ研究を迅速に運用化するなど、サイバー攻撃の技術が著しく進化したことを示しています。
組織への推奨事項とIoC
組織は、潜在的な侵害を検出するために、隠された %AppData% ディレクトリ内の実行ファイル、NtQuerySystemInformation の悪用パターン、およびDeepseekスタイルの不審なAPIトラフィックを監視する必要があります。
侵害指標(IoC)
ファイルハッシュ(SHA-256)
update.exe:a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9[NSIS.nsi]:8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53eBluetoothService.exe:2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924BluetoothService:77bfea78def679aa1117f569a35e8fd1542df21f7e00e27f192c907e61d63a2elog.dll:3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7adu.bat:9276594e73cda1c69b7d265b3f08dc8fa84bf2d6599086b9acc0bb3745146600conf.c:f4d829739f2d6ba7e3ede83dad428a0ced1a703ec582fc73a4eee3df3704629alibtcc.dll:4a52570eeaf9d27722377865df312e295a7a23c3b6eb991944c2ecd707cc9906admin:831e1ea13a1bd405f5bda2b9d8f2265f7b1db6c668dd2165ccc8a9c4c15ea7ddloader1:0a9b8df968df41920b6ff07785cbfebe8bda29e6b512c94a3b2a83d10014d2fduffhxpSy:4c2ea8193f4a5db63b897a2d3ce127cc5d89687f380b97a1d91e0c8db542e4f8loader2:e7cd605568c38bd6e0aba31045e1633205d0598c607a855e2e1bca4cca1c6eda3yzr31vk:078a9e5c6c787e5532a7e728720cbafee9021bfec4a30e3c2be110748d7c43c5ConsoleApplication2.exe:b4169a831292e245ebdffedd5820584d73b129411546e7d3eccf4663d5fc5be3system:7add554a98d3a99b319f2127688356c1283ed073a084805f14e33b4f6a6126fds047t5g.exe:fcc2765305bcd213b7558025b2039df2265c3e0b6401e4833123c461df2de51a
ネットワーク指標
95.179.213.0api[.]skycloudcenter[.]comapi[.]wiresguard[.]com61.4.102.9759.110.7.32124.222.137.114
”
“status”: “publish”
}
“`
元記事: https://gbhackers.com/notepad-attack-breakdown-reveals-sophisticated-malware/