概要
BlankGrabberのオペレーターは、偽の「証明書」ローダーを使用してマルチステージのRustとPython感染チェーンを隠し、この商品スティールがWindowsエンドポイント上で非常に困難な状況を作り出しています。
新たな攻撃手法
新しい技術は、certutil.exeなどの組み込みツールや高度にオブファスケーションされたPyInstallerスタブを使用し、TelegramとパブリックWebサービスを介した秘密裏のエクスフィラテーションを通じて静的および行動的な検出から回避します。
初期段階での動作
最初に見た目はデータをデコードし、certutil.exeに渡してWindows証明書がインストールされるように見えます。しかし、詳細な分析ではエンコードされたブロブが証明書ではなくコンパイル済みのRust実行可能ファイルであることがわかり、これがステージャーとして機能し、本物のペイロードを暗号化して起動します。
攻撃チェーン
- 初期段階: Gofile.ioファイル共有サービスにホストされたバッチスクリプトから始まります。
- Rustステージャー: セルフエクストラクト可能なRAR (SFX) アーカイブを%TEMP%にドロップします。これにはXWormリモートアクセスクライアントとPyInstallerパッケージのBlankGrabberスティーラーが含まれています。
- データ盗難: ChromiumやFirefoxデータベースからパスワード、クッキー、履歴、自動入力データを抽出し、クリプトウォレット拡張機能もターゲットにします。
検出と対策
Splunkは、Windows製品キーのレジストリアクセス、Telegram APIへのDNSクエリー、IPチェックサービス(ip-api.com)、WinRAR/rar.exeの非標準パスでの実行、不審なホストファイルアクセス、WMI調査、および悪用されたWebサービス(gofile.ioやcdn.discordapp.com)へのDNSルックアップを含む複数の検出方法を提供しています。
結論
これらの検出は、セキュリティオペレーションセンターのチームがBlankGrabberの偽証明書ローダーとそのダウンストリームスティーラーアクティビティを大規模な資格情報やトークンのエクスフィラテーション前に表面化させるのに役立ちます。