サイバーニュース.jp

世界のサイバーなニュースを配信

著作権侵害の警告がきっかけとなる新たなPureLogステアラによる認証情報窃取攻撃

カテゴリ:

著作権侵害の警告がきっかけとなる新たなPureLogステアラによる認証情報窃取攻撃

脅威アクターは、法的な著作権侵害通知を装った巧妙な多段階攻撃キャンペーンを通じて、PureLogステアラを積極的に配布しています。この情報窃取マルウェアは、ブラウザの認証情報、ブラウザ拡張機能、暗号通貨ウォレット、詳細なシステム情報など、機密データを静かに収集するように設計されています。キャンペーンは、ドイツ、カナダ、米国、オーストラリアの医療、政府、ホスピタリティ、教育機関を対象に選択的に展開されています。

攻撃者は、対象地域に合わせたローカライズされたフィッシングメールとGoogle広告マルウェアインフラストラクチャを使用し、ユーザーの実行の可能性を大幅に高めています。

攻撃の感染チェーン (出典: Trendmicro)

攻撃の感染チェーン

セキュリティプラットフォームは、対象広告トラッキングパラメータを含むURLから発生する疑わしい実行可能ファイルのダウンロードを監視する専門の検出モデルを導入することで、この配布方法に対抗しています。

多段階感染チェーン

Trend Microによると、攻撃シーケンスは、被害者が法的な知的財産文書を装った悪意のあるファイルを手動で実行することから始まります。直ちに疑念を抱かせないように、マルウェアは実際に悪意のある操作をバックグラウンドで静かに実行しながら、無害なデコイPDFファイルを開きます。

マルウェアは、システムコマンドラインツールcurlを利用し、「curl/meow_meow」というカスタムユーザーエージェント文字列を使用し、欺瞞的に請求書PDFとして偽装された暗号化されたペイロードをダウンロードします。初期実行可能ファイル内に復号化パスワードをローカルに保存するのではなく、マルウェアはリモートのコマンドアンドコントロールサーバーからこのキーを動的に取得します。このリモートキー取得戦術は、セキュリティアナリストがアクティブなネットワークアクセスなしにペイロードを簡単に抽出できないようにし、オペレーターがペイロードへのアクセスを密接に制御できるようにします。

パスワードが正常に取得されると、マルウェアは、標準のPNG画像ファイルとして偽装された名前変更されたWinRARアプリケーションを使用して暗号化されたペイロードを抽出します。

高度な回避とローダー機能

初期抽出後、マルウェアはステージングファイルを安全に削除し、正当なシステム動作を模倣するために公開Windowsディレクトリに操作を移行します。その後、ファイルレスPythonローダーを実行します。このローダーは、標準のWindowsサービスホストコンポーネントとして巧妙に名前変更され、欺瞞的にPDFインストラクションマニュアルとしてラベル付けされたPythonスクリプトを実行します。このPythonローダーは、最新のセキュリティ対策を回避するように設計された強力な機能を備えています。

不明なソースからの悪意のあるルアーのダウンロード (出典: Trendmicro)

ローダーは、セキュリティスキャンを無効にするために、直接メモリ内でAntimalware Scan Interfaceを積極的にパッチします。ローダーは、システムログインごとにマルウェアが自動的に実行されるように、現在のユーザーの下にレジストリの永続性を確立します。さらに、インストールされているアンチウイルス製品を列挙し、デスクトップのフルスクリーン画像をキャプチャすることで徹底的なシステムフィンガープリンティングを実行し、収集されたインテリジェンスをメモリ内で完全に構築してからエクスフィルタします。

最終的な展開段階では、Pythonスクリプトは、組み込みの運用冗長性を提供する2つの同一の.NETローダーを同時に起動します。

感染したPureLogステアラの感染チェーン (出典: Trend Micro)

これらの異なるローダーは、アプリケーションの制御フローを意図的に混乱させるためにアプリケーション制御フローを断片化する高度な難読化ツールであるConfuserExによって強力に保護されています。ローダーは、Triple-DES暗号化およびGZip圧縮アルゴリズムを使用して、最終的なペイロードを正常に復号します。その後、PureLogステアラはシステムメモリにリフレクティブにロードされます。完全に管理メモリヒープ内で実行し、物理ハードドライブに運用ファイルを一切書き込まないことで、マルウェアは標準のファイル作成イベントを監視する従来のEndpoint検出ツールを回避します。

侵害指標 (IOC)

  • SHA-256: 35efc4b75a1d70c38513b4dfe549da417aaa476bf7e9ebd00265aaa8c7295870 – 悪意のあるZIPアーカイブルアー
  • SHA-256: 1539dab6099d860add8330bf2a008a4b6dc05c71f7b4439aebf431e034e5b6ff – 悪意のある実行可能ルアー
  • SHA-256: ac591adea9a2305f9be6ae430996afd9b7432116f381b638014a0886a99c6287 – シェルコードローダー (urlmon.dll)
  • ドメイン: quickdocshare[.]com – ペイロードホスティングとキー取得
  • ドメイン: logs[.]bestshopingday[.]com – PureLogステアラC&Cインフラストラクチャ
  • IPアドレス: 166.0.184.127 – PureLogステアラC&Cサーバー
  • IPアドレス: 64.40.154.96 – アウトバウンド接続ターゲット

Googleニュース、LinkedIn、Xで私たちをフォローして、インスタントアップデートを受け取り、GoogleでGBHを優先ソースとして設定してください。

タグ: サイバーセキュリティ サイバーセキュリティニュース マルウェア

Divyaは、サイバー攻撃、脅威、侵害、脆弱性、およびサイバー世界のその他の出来事をカバーするGBhackersのシニアジャーナリストです。

今週の注目記事

元記事: https://gbhackers.com/new-purelog-stealer-credential-theft-wave/

投稿をさらに読み込む