WARMCOOKIEマルウェアの進化と新機能
サイバーセキュリティの状況は絶えず進化しており、WARMCOOKIEバックドアマルウェアの背後にいる脅威アクターは、法執行機関による妨害にもかかわらず、その能力を大幅に強化し、新機能を導入し、活発な開発を続けています。最新のWARMCOOKIE亜種は、脅威アクターがその運用ツールキットを拡大することに注力していることを示しています。
新たなコマンドハンドラの追加
2024年夏以降、マルウェアのアーキテクチャには4つの新しいコマンドハンドラが統合され、運用者に多用途な実行機能を提供しています。これらの追加機能には以下のものが含まれます。
- PEファイル実行
- DLL実行
- PowerShellスクリプト実行
- Startエクスポート機能付きDLL実行
Elastic Security Labsのセキュリティ研究者は、この持続的な脅威に対する大幅な更新を文書化しており、検出回避策に適応し続ける洗練された運用が明らかにされています。実装戦略は戦術的な洗練さを示しており、これらのハンドラはファイルタイプパラメータに基づいて実行方法を適応させる統一された機能アーキテクチャを活用しています。マルウェアは一時ディレクトリを作成し、ペイロードを一時ファイルに書き込み、rundll32.exeやPowerShell.exeなどのシステムユーティリティを使用して実行します。このアプローチは、運用上のステルス性を維持しながら互換性を最大化します。
最近のビルドの分析によると、現在の展開ではDLLおよびEXE実行機能が主流であり、PowerShellスクリプト機能はより特殊な亜種に現れています。この選択的な配布は、運用者が特定のキャンペーン要件に合わせてビルドをカスタマイズしていることを示唆しており、成熟した運用構造を裏付けています。
高度な防御回避メカニズム「ストリングバンク」システム
WARMCOOKIEの開発者は、「ストリングバンク」システムと呼ばれる洗練された防御回避メカニズムを実装しました。この革新により、静的にハードコードされたパスが、正規の企業名の厳選されたリストからの動的な選択に置き換えられ、マルウェアは信頼できると思われるディレクトリやスケジュールされたタスクに存在を確立できるようになります。
ストリングバンクは、ビジネス評価ウェブサイトで見つかった実際のITおよびソフトウェア企業のリストから情報を引き出し、マルウェアの永続化メカニズムに信頼性を与えています。GetTickCountをランダム化シードとして使用することで、マルウェアは実行時に企業名を選択し、正規のエンタープライズソフトウェアインストールとシームレスに混ざり合うフォルダパスとスケジュールされたタスク名を作成します。
このアプローチは、C:\ProgramData\RtlUpd\RtlUpd.dllのような静的な場所に依存していた以前のバージョンからの大幅な進化を表しています。現在の実装の動的な性質は、検出の取り組みを複雑にし、開発者が現代のセキュリティ分析技術を理解していることを示しています。
キャンペーンIDと運用構造
キャンペーンIDフィールドの導入は、WARMCOOKIEの運用構造に関する前例のない洞察を提供します。これらの識別子は、運用者が感染源と配布方法を追跡するのに役立つマーカーとして機能し、「traffic2」、「bing」、「aws」、「lod2lod」、「PrivateDLL」などのキャンペーンタグが含まれます。
調査分析によると、埋め込まれたRC4暗号化キーが運用者識別子として機能する可能性があり、異なるグループが異なるコマンドハンドラと機能セットを備えたカスタマイズされたビルドを受け取っています。この配布モデルは、サービスとしてのマルウェア(MaaS)構造または調整された複数運用者による展開戦略を示しています。
RC4キーとキャンペーンテーマの相関関係は、長期間にわたる運用パターンを明らかにしています。一部のビルドは、クラウドサービス参照などの一貫したテーマ要素を示していますが、他のビルドは特定のターゲティング方法論やペイロード配信メカニズムに焦点を当てています。
法執行機関による妨害にもかかわらず、インフラの回復力
2025年5月のユーロポールによる「Operation Endgame」での妨害にもかかわらず、WARMCOOKIEのインフラは戦略的な証明書の再利用とサーバーの再構成を通じて活動を続けています。Elastic Security Labsは、2024年11月に期限切れになったにもかかわらず、新しいコマンド&コントロールサーバー全体で引き続き出現するデフォルトのSSL証明書を特定しました。
オーストラリアの「Internet Widgits Pty Ltd」に発行されたこの証明書は、セキュリティ研究者の追跡指標として機能する特定のSHA1およびSHA256フィンガープリントを備えています。複数のインフラ展開全体でのその継続的な使用は、運用者がセキュリティのベストプラクティスよりも運用継続性を優先していることを示唆しており、潜在的に回避能力への自信を示しています。
新しいインフラ展開では、数値IPアドレスではなくドメイン名がますます利用されており、これは別の戦術的進化を表しています。このドメインベースのインフラへの移行は、正規のトラフィックパターンと混ざり合おうとする試み、またはより洗練されたリダイレクトスキームを促進する試みを示している可能性があります。
今後の影響と対策
WARMCOOKIEの亜種に見られる継続的な開発サイクルは、脅威アクターがこのプラットフォームに長期的にコミットしていることを示しています。コード最適化の改善、パラメータの変更(スケジュールされたタスク作成の/pから/uへの変更)、およびデュアルミューテックスの実装は、機能性と運用セキュリティの両方への注意を示しています。
これらの継続的な強化は、マルウェアがさまざまな悪意のある広告やスパムキャンペーンに存在していることと相まって、WARMCOOKIEが永続的な脅威であり続けることを示しています。選択的な使用パターンは、運用者が潜在的な大規模展開のための能力を構築しながら、目立たない運用を維持していることを示唆しています。
組織は、WARMCOOKIEの継続的な進化に備え、その動的な回避技術とインフラの柔軟性を考慮した検出戦略を実装する必要があります。マルウェアの洗練された開発軌跡は、持続的な監視と適応的な防御策を必要とする重要な長期的なサイバーセキュリティ上の懸念として位置づけられています。