サイバーニュース.jp

世界のサイバーなニュースを配信

PhantomVAIローダーがAsyncRAT、XWorm、FormBook、DCRatを配布するグローバルキャンペーンを展開

カテゴリ:

, , , , , , , , ,

PhantomVAIローダーの脅威

Unit 42によって追跡されている「PhantomVAIローダー」という新たな名称の多段階.NETローダーが、広範なフィッシングキャンペーンで利用され、様々な情報窃取型マルウェアファミリーを配布しています。当初はKatz Stealerローダーとして識別されていましたが、現在はAsyncRAT、XWorm、FormBook、DCRatといったペイロードを、難読化されたスクリプト、ステガノグラフィー、仮想マシン検出を悪用した巧妙な感染チェーンを通じて展開しています。

このグローバルキャンペーンでは、製造業、教育、公益事業、テクノロジー、ヘルスケア、情報、政府機関など、幅広い組織が標的となっています。

進化するマルウェア・アズ・ア・サービス

2025年4月13日、アンダーグラウンドフォーラムで「Katz Stealer」が登場しました。これは、機密性の高い認証情報、ブラウザデータ、暗号通貨ウォレット、通信ログを収集するために設計されたマルウェア・アズ・ア・サービス(MaaS)です。脅威アクターは、高度に難読化されたJavaScriptまたはVisual Basicスクリプトを含むフィッシングメールを介してKatz Stealerを配布していました。研究者がその機能の拡大を観察するにつれて、このローダーはKatz StealerローダーおよびVMDetectLoaderと改名されました。

現在、Unit 42の研究者たちは、そのステルス性の高い「VAI」実行方法と進化するペイロードレパートリーを反映して、これを「PhantomVAIローダー」と再ブランド化しました。このローダーは現在、アンダーグラウンドマーケットプレイスでMaaSとして販売されており、スキルレベルの低いアクターでも複雑な攻撃を実行できるようになっています。

ステルス性の高い多段階攻撃の内部

PhantomVAIの感染チェーンは、以下の3つの主要な段階で展開されます。

  • フィッシングメールとスクリプトの配信: 脅威アクターは、販売、支払い、または法的措置をテーマにしたメールを作成し、時にはホモグラフ攻撃(Unicode文字を置き換えて検出を回避する)を使用して、受信者を添付ファイルを開くように誘導します。これらの添付ファイルは、Base64エンコードされたPowerShellスクリプトを埋め込んだ難読化されたJavaScriptまたはVBSファイルを含むZIPアーカイブです。スクリプトが実行されると、次の段階のダウンロードが開始されます。
  • ステガノグラフィーを利用したPowerShellステージ: デコードされたPowerShellスクリプトは、コマンド&コントロールサーバーから一見無害な画像ファイル(多くの場合GIF)をフェッチします。この画像内には、<<sudo_png>><<sudo_odt>>のようなマーカー間にステガノグラフィーによって隠されたテキストがあり、Base64 DLLペイロードがエンコードされています。スクリプトはこのDLLを抽出し、デコードしてロードし、C2 URLとターゲットプロセスを指定するパラメーターとともにそのVAIメソッドを呼び出します。
  • PhantomVAIローダーの実行: C#で記述されたPhantomVAIローダーは、オープンソースのVMDetectorプロジェクトの技術を使用して仮想マシン検出チェックを実行します。サンドボックス内で実行されていると判断した場合、実行を中止します。そうでない場合、スケジュールされたタスクまたはRunレジストリキーを通じて永続性を確立し、最終ペイロード(AsyncRAT、XWorm、FormBook、またはDCRat)をダウンロードし、MSBuild.exeなどの正規の実行可能ファイルにプロセスホローイングを介して注入します。このシームレスな注入により、インフォスティーラーは多くのエンドポイント防御を回避できます。

脅威からの防御策

Palo Alto Networksの顧客は、PhantomVAIローダーキャンペーンに対するプロアクティブな防御の恩恵を受けています。Advanced WildFireの行動分析は、ステージ2で使用される難読化されたスクリプトやステガノグラフィーによるダウンロードを検出でき、Cortex XDRとXSIAMはエンドポイント検出と迅速なインシデント対応機能を提供します。

組織は、厳格なメールセキュリティポリシーの実施、多要素認証の有効化、最新のエンドポイント保護の維持、定期的なフィッシング認識トレーニングの実施が推奨されます。侵害が疑われる場合は、Unit 42インシデント対応チームに連絡し、迅速な封じ込めと修復を行うことが重要です。

初期のソーシャルエンジニアリングの誘いから最終的なインフォスティーラーの展開まで、PhantomVAIローダー攻撃チェーンの各段階を理解することは、これらの高度な攻撃を阻止し、マルウェア・アズ・ア・サービスによる脅威から機密データを保護するために不可欠です。

元記事: https://gbhackers.com/phantomvai-loader/

投稿をさらに読み込む