MastaStealerキャンペーンの概要
最近、セキュリティ研究者たちは、WindowsのLNK(ショートカット)ファイルを悪用して初期アクセスを確立し、MastaStealerと呼ばれる洗練されたキャンペーンを発見しました。この攻撃は、LNKファイルを介して完全な機能を持つC2(コマンド&コントロール)ビーコンを送り込み、同時に重要なエンドポイント保護機能を無効化することを目的としています。
初期感染経路と巧妙な手口
感染は、単一の.lnkファイルを含むZIPアーカイブが添付されたスピアフィッシングメールから始まります。被害者がこのショートカットを実行すると、攻撃は複数の段階を経て展開されます。LNKファイルは、ユーザーの注意をそらすためにMicrosoft Edgeを起動し、正規のAnyDeskドメインのタイプミスであるanydesk[.]comに移動させます。このソーシャルエンジニアリングの手口により、マルウェアはバックグラウンドでanydesk[.]netからMSIインストーラーを密かにダウンロードします。
MSI展開と検出のポイント
セキュリティチームは、ユーザーがローカル管理者権限を持たないシステムでMSIのインストールが失敗した際、Windows Installerのイベントログを通じて侵入を検知しました。失敗したインストールは、アプリケーションイベントID 11708を生成し、これが相関ルールをトリガーして迅速なインシデント対応につながりました。もしユーザーが管理者権限を持っていた場合、攻撃は検知されずに進行していた可能性があります。
インストールが成功した場合、MSIはコンテンツを一時ディレクトリ(%LOCALAPPDATA%\Temp\MW-<UUID>\files.cab)に展開し、その後、実際のペイロードであるdwm.exeを%LOCALAPPDATA%\Microsoft\Windowsにドロップします。この実行ファイルがC2ビーコンとして機能し、攻撃者に侵害されたシステムへの直接的なリモートアクセスを提供します。
Windows Defenderの無効化
このキャンペーンの最も警戒すべき点は、MSIインストール中に実行されるPowerShellコマンドです。このコマンドは、Windows Defenderの除外設定を作成します。
Add-MpPreference -ExclusionPath “C:\Users\admin\AppData\Local\Microsoft\Windows\dvm.exe”
このコマンドにより、悪意のある実行ファイルがDefenderの除外リストに追加され、Windows DefenderはC2ビーコンの存在を効果的に認識できなくなります。マルウェアのインストールパスに対するリアルタイム保護を無効にすることで、攻撃者は永続化メカニズムが自動セキュリティスキャンやインシデント対応活動から見えないようにします。
コマンド&コントロール(C2)インフラ
マルウェアは以下の2つのコマンド&コントロールサーバーと通信します。
- cmqsqomiwwksmcsw[.]xyz (38[.]134[.]148[.]74)
- ykgmqooyusggyyya[.]xyz (155[.]117[.]20[.]75)
これらのドメインは、ドメインレピュテーションフィルタリングやDNSベースの脅威インテリジェンスプラットフォームを回避するために、ランダムな命名規則を使用しています。
多層的な回避技術と対策
このキャンペーンは、攻撃者が多層的な防御を回避するために複数の回避技術をどのように組み合わせるかを示しています。LNKベースの実行、MSIベースの展開、そしてDefenderの除外設定の組み合わせは、警戒を要するエンドポイント検出および対応能力を必要とする洗練された攻撃シーケンスを作り出します。
組織は、LNKファイルの実行、セキュリティ除外を標的とする不審なPowerShellコマンド、および署名されていないMSIインストールを監視するための制御を実装すべきです。また、Windows Installerのイベントログを監視し、攻撃者がアプローチを洗練させる前に、不成功に終わった侵害の試みを捕捉するための重要な検出メカニズムとして活用することが推奨されます。