概要
Microsoft Defenderの研究者は、ゲームユーティリティを悪用してマルウェアを配布する新しいキャンペーンを発見しました。このキャンペーンでは、Xeno.exeやRobloxPlayerBeta.exeなどの人気ツールを偽装し、ユーザーがダウンロードを通じて不正なプログラムを実行させます。
攻撃の詳細
ユーザーがトロイの木馬化されたゲームユーティリティを実行すると、悪意のあるダウンローダーがポータブルJavaランタイム環境(JRE)をステージングし、jd-gui.jarという名前のJavaアーカイブを起動します。このJARファイルは合法的なJavaデコンパイラの名前を模倣しており、攻撃者によって制御されるコードを実行する主要なローダーとして使用されます。
マルウェアの展開
ダウンローダーはPowerShellを使用して後続のステップを調整し、隠れたウィンドウと遅延実行を利用してユーザーの注意を引きません。Microsoft Defenderの除外リストがRATコンポーネントに関連するディレクトリやファイルをカバーすることで、後の段階で最小限のスキャンで動作します。
持続性と検出
攻撃者はcmstp.exeなどの信頼されたWindowsコンポーネントを使用して悪意のあるコマンドをプロキシし、従来のシグネチャベースの検出を回避します。初期ダウンローダーは実行後削除され、最初のステージファイルがJREとjd-gui.jarのペイロードを配布した後に消去されます。
持続性と再起動
マルウェアはスケジュールされたタスクとworld.vbsという名前のスタートアップスクリプトを使用して、ゲームシステムへの長期的なアクセスを確保します。VBScriptが隠れたPowerShellコマンドを実行し、ステージングされたコンポーネントを再起動することで、リブート後に自動的にマルウェアチェーンが再開されます。
最終段階の攻撃
最終段階では、マルウェアはローダー、ランナー、ダウンローダー、およびRAT機能を統合した単一のペイロードを展開します。このコンポーネントは追加のバイナリを実行し、新しいモジュールを取得し、攻撃者が発行する任意のコマンドを実行することができます。
脅威アクターとの通信
RATはIPアドレス79.110.49[.]15とコマンド&コントロール(C2)通信を行い、侵害されたホストに対するインタラクティブなリモート制御を提供します。この通信経路を通じて攻撃者は機密ファイルのエクスフィルレーションや資格情報の収集を行うことができます。
Microsoft Defenderによる検出
Microsoft Defenderは、悪意のあるPowerShellの使用、不審なLOLBinの乱用、非公式または非コーポレートソースからのjava.zipやjd-gui.jarのダウンロードなど、攻撃チェーン全体で複数のポイントでの検出を提供します。
セキュリティチームへのアドバイス
- C2 IPおよび関連ドメインに対するブロックまたは監視
- 世界.vbsや同様にランダムな名前のスクリプトやタスクを参照するプロセスの検索
- Microsoft Defender除外リストとスケジュールされたタスクの審査
これらの手順により、組織は初期侵害と継続的なC2トラフィックに関連する脅威を効果的に対処することができます。