概要
Kiss Loaderと呼ばれる新たなマルウェアローダーが、高度なプロセスインジェクション技術や動的な配信インフラストラクチャを活用して脅威として浮上しています。このローダーはまだ開発中であり、ステルス性、モジュール式の展開、実験的な実装が組み込まれています。
Kiss Loaderの動作概要
ファイルが実行されると、リモートWebDAVリソースに接続します。このサービスは攻撃者が専用インフラを必要とせずにローカルサーバーを公開できるため、柔軟で頻繁に更新されるペイロード配信が可能となります。
マルウェアの展開
感染は偽装されたPDFドキュメントとして表示されるWindowsインターネットショートカットファイルから始まります。WebDAVディレクトリ内に存在する二次ショートカットファイルがさらなる実行をトリガーします。
攻撃のステージ
- Windowsスクリプトホスト(WSH)プロセスを通じてJSコンポーネントへとチェーンされます。
- JScript段階で、バッチスクリプトが次のフェーズを担当します。このスクリプトはデコイPDFの表示、Windowsスタートアップフォルダでの持続性の確立、追加ペイロードコンポーネントのダウンロードなどを行います。
ステージングとインジェクション
Kiss LoaderはJSON構成ファイルを使用して暗号化キーを取得し、ペイロードが実行時にのみデクリプトされるようにします。この設計により、静的解析が複雑になり、回避能力が向上します。
Early Bird APCインジェクション
最終的なステージでは、Early Bird APCインジェクションという隠蔽性の高いプロセスインジェクション技術を使用します。これにより、信頼されたプロセスコンテキストで悪意のあるコードが実行され、従来の検出メカニズムを回避できます。
開発段階の証拠
公開アクセス可能なWebDAVリポジトリや詳細なインラインコメント、テストユーティリティ、ヘルパーファンクションなどが存在することで、Kiss Loaderがまだ開発中であることが示されています。
直接の攻撃者との対話
分析中に、外部オペレーターからのアクティブなアクセスがあったことが確認されました。ツールが突然終了し、ユーザー入力なしでカーソル移動が観察されました。