概要
LevelBlueのセキュリティチームは、新しいオープンディレクトリを介したマルウェアキャンペーンを発見しました。このキャンペーンでは、VBSファイルとPNG画像を使用してRAT(Remote Access Trojan)ペイロードを配布しています。
VBSファイルの検出
LevelBlueのManaged Detection and Response (MDR) SOCは、SentinelOneの警告を通じて、公開ダウンロードディレクトリに存在する疑わしいVBSファイルを検出した。このファイルは「Name_File.vbs」と名付けられ、実行前にブロックされました。
マルウェアキャンペーンの詳細
さらに調査が行われた結果、このキャンペーンは複数ステージにわたる配布フレームワークを採用しており、VBSファイルとPowerShellローダーを使用しています。PNG画像内にはBase64エンコードされたデータが埋め込まれており、これが実際のペイロードとなっています。
攻撃手法
- VBSファイル:Unicodeベースのオブファスケーションを使用して、PowerShellコマンドをBase64エンコードしたデータを含んでいます。
- PNG画像:内部にはBase64エンコードされたデータが埋め込まれており、「BaseStart」と「BaseEnd」タグで囲まれています。このデータは.NETアセンブリであり、メモリ内で直接実行されます。
PNGペイロードの展開
PNG画像から取得された.NETアセンブリは、メモリ内でのみ動作し、ファイルをディスクに書き出さないため、従来のセキュリティツールによる検知を避けることができます。
追加ペイロードの配布
さらに、攻撃者は他の悪意のあるDLLやPythonベースのマルウェアも配布しています。これらのスクリプトはメモリインジェクションとシェルコード実行を行い、さらなるペイロードステージを展開します。
オープンディレクトリ構造
攻撃者は複数のパスを持つドメインを使用し、その中にVBSファイルや他のマルウェアペイロードが含まれています。これにより、同じローダーフレームワークを再利用しながらペイロードを交換することができます。
防御策
組織はスクリプト(特にユーザー書き込み可能な場所から)の実行を制限し、PowerShell活動やメモリ内での実行を監視する必要があります。また、不審なドメインへのアクセスをブロックし、WebDAVトラフィックを制限することも重要です。
結論
このキャンペーンは、オープンディレクトリとファイルレス技術を使用して攻撃者に柔軟性と回避能力を提供します。LevelBlueは既存の脅威モデルに対するカスタム検出機能を展開し、防御力を強化しています。