サイバーニュース.jp

世界のサイバーなニュースを配信

新Stealitマルウェア、Node.js拡張機能を悪用しWindowsシステムを標的に

カテゴリ:

, , , , , , , , ,

Node.jsの実験的機能を利用した新攻撃

セキュリティ研究者たちは、Node.jsの実験的機能を利用してWindowsシステムに感染する、Stealitマルウェアの新たな活発なキャンペーンを確認しました。FortiGuard Labsの報告によると、脅威アクターはNode.jsのSingle Executable Application (SEA)機能を利用して、悪意のあるペイロードをパッケージ化し配布しています。

この新たな手口は、以前のStealitがElectronフレームワークに依存していたものから変化したことを示しています。マルウェアは、MediafireやDiscordなどのファイル共有プラットフォームを通じて、人気ゲームやVPNソフトウェアのインストーラーを装って配布されています。この発見は、マルウェアが侵害されたマシンに永続性を確立するために使用するVisual Basicスクリプトの検出数が急増した後に判明しました。

SEAの利用により、マルウェアはNode.jsランタイムが事前にインストールされていなくてもスタンドアロンのバイナリとして実行できるため、攻撃者にとって汎用性の高い配布方法となっています。

サービスとしてのマルウェア (MaaS) としてのStealit

Stealitの背後にいるオペレーターは、洗練されたMalware-as-a-Service (MaaS) ビジネスを運営しており、公開ウェブサイトでその作成物を宣伝しています。このサイトは、テイクダウンを回避するために最近ドメインを移動しており、Stealitを「プロフェッショナルなデータ抽出ソリューション」として宣伝し、様々なサブスクリプションプランを提供しています。

約500ドルでWindows版の生涯ライセンスを購入でき、Android版は約2,000ドルで販売されています。ウェブサイトでは、リモートファイルアクセス、ウェブカメラのハイジャック、ライブ画面監視、さらにはランサムウェアを展開するためのモジュールなど、典型的なリモートアクセス型トロイの木馬 (RAT) 機能を含む、マルウェアの広範な機能が詳細に説明されています。このサービスは、公開Telegramチャンネルでも宣伝されており、オペレーターはアップデートを投稿し、潜在的なクライアントと交流することで、このサイバー犯罪活動のプロフェッショナルかつ商業的な性質を示しています。

Stealitオペレーターが宣伝する主な機能は以下の通りです:

  • リアルタイム監視のためのライブ画面表示とウェブカメラアクセス
  • リモートシャットダウンや再起動を含むシステム管理機能
  • 組み込みのターミナルインターフェースを介したコマンド実行
  • デスクトップやドキュメントなどの重要なディレクトリからのファイル抽出
  • 被害者との直接的なコミュニケーションチャネルを備えたランサムウェアの展開
  • ユーザーを欺くための偽の警告メッセージ生成
  • リモートオーディオ再生および壁紙変更機能。

高度な回避技術

最新バージョンのStealitは、検出を妨害し、研究を困難にするために、複数の層の難読化とアンチ分析機能で設計されています。攻撃は、ユーザーが最初のインストーラーを実行すると開始されます。これにより、高度に難読化されたスクリプトがデコードされ、メモリ内で実行される多段階プロセスがトリガーされます。

主要なペイロードを展開する前に、マルウェアは、仮想マシンまたはセキュリティ分析環境で実行されているかどうかを判断するために、一連の厳格なチェックを実行します。システムメモリ、CPUコア数、ホスト名、実行中のプロセス、およびレジストリキーを検査し、サンドボックスまたはデバッグツールの兆候がないか確認します。このようなアーティファクトが検出された場合、マルウェアは直ちに実行を終了し、偽のエラーメッセージを表示します。

この堅牢な防御メカニズムにより、インストールに進む前に被害者のシステム上で検出されずに留まることができます。

Stealitが採用するアンチ分析技術:

  • ハードウェアおよびシステムチェックによる仮想環境検出
  • デバッグおよび分析ツールを特定するためのプロセス監視
  • セキュリティソフトウェアのアーティファクトを検査するためのレジストリ検査
  • 監視システムを検出するためのネットワークポートスキャン
  • ロードされたセキュリティモジュールを特定するためのDLLインジェクション分析
  • 研究者環境を回避するための親プロセス検証
  • サンドボックス化された実行環境を検出するためのタイミング分析
  • アンチ分析チェックが失敗した場合に表示されるメッセージボックス。

広範なデータ窃取能力

セキュリティチェックを正常に回避した後、マルウェアはコマンド&コントロール (C2) サーバーからいくつかのコンポーネントをダウンロードし、データ窃取という主要な任務を実行します。エンドポイントセキュリティ製品による検出を回避するため、インストールディレクトリをWindows Defenderの除外リストに追加します。

その主要コンポーネントの1つであるsave_data.exeは、ChromElevatorと呼ばれるオープンソースツールを利用して、Chromiumベースのブラウザから保存された認証情報やCookieなどの機密情報を抽出します。別のモジュールであるstats_db.exeは、TelegramやWhatsAppなどのメッセンジャー、SteamやEpic Gamesなどのゲームプラットフォーム、様々な暗号通貨ウォレットなど、幅広いアプリケーションからデータを窃取するように設計されています。

脅威アクターは、数週間以内にElectronフレームワークに戻り、今回はスクリプトにAES-256-GCM暗号化を追加していることが観察されており、これは急速に進化し、永続的な脅威であることを示しています。

侵害の痕跡 (IoCs)

ファイル (SHA256):

  • 554b318790ad91e330dced927c92974d6c77364ceddfb8c2a2c830d8b58e203c
  • aa8f0988f1416f6e449b036d5bd1624b793b71d62889afdc4983ee21a1e7ca87
  • 5ea27a10c63d0bbd04dbea5ec08fe0524e794c74d89f92ac6694cfd8df786b1f
  • 083c4e0ffdc6edf0d93655ee4d665c838d2a5431b8064242d93a545bd9ad761b
  • 432b8414113a8c14c0305a562a93ed926e77de351bac235552a59cc02e1e5627
  • 8e1cf254d23e2b94c77294079336339ececf33a3e7ee1a3621ee4e0df0695ce5
  • 919a2107ac27e49cdaa60610706e05edfc99bd3f2e9ca75da4feb6a5f2517c27
  • e004f8e39e489dec74a13d99836ee5693bd509047ecf49f3fc14efc143a161b5
  • 818350a4fb4146072a25f0467c5c99571c854d58bec30330e7db343bceca008b
  • 8814db9e125d0c2b7489f8c7c3e95adf41f992d4397ed718bda8573cb8fb0e83
  • 24b3def3f374c5f17ec9f1a347c71d9c921155c878ab36e48dd096da418bf782
  • c38130d7cb43cf3da4858247a751d7b9a3804183db8c4c571b6eede0590474da

URL:

  • https[:]//iloveanimals[.]shop/
  • https[:]//iloveanimals[.]shop/user/login
  • https[:]//root[.]iloveanimals[.]shop/download/save_data
  • https[:]//root[.]iloveanimals[.]shop/download/stats_db
  • https[:]//root[.]iloveanimals[.]shop/download/game_cache
  • https[:]//root[.]iloveanimals[.]shop/panelping
  • https[:]//root[.]stealituptaded[.]lol/download/save_data
  • https[:]//root[.]stealituptaded[.]lol/download/stats_db
  • https[:]//root[.]stealituptaded[.]lol/download/game_cache
  • https[:]//cdn[.]discordapp[.]com/attachments/1395171942494896190/1413957011837816915/VrchatPlugin.rar?ex=68bdd195&is=68bc8015&hm=b9f359a7f75b84d1b860d2aa4dd92f8adad3a2feef5d82832f49d664a256ff7b&
  • https[:]//www[.]mediafire[.]com/file/9ni7pgjxuw8pc6h/ShaderSetup.rar/file
  • Https[:]//download1529[.]mediafire[.]com/8006s55pduvgtQ0THBMZxcLtlrh20a5BnfF18n8YfGUB8P7M5U3mEQb-UYYDCrMHsSG0aWvnyy_LIMg2OnTc4kuNYmWzjWLQwOds-qSfhdO03NOQFAAaYCPiOvB8nU7mBEHe-3a5gDSufW6upPbFXyGlbzBTdtpcrVPXokNKOYZ9/c4zbp39q02jvrn8/Aykadia.rar

元記事: https://gbhackers.com/new-stealit-malware-exploits-node-js-extensions/

投稿をさらに読み込む