はじめに:進化した情報窃取マルウェア
リモートアクセス型トロイの木馬(RAT)やトロイの木馬型情報窃取マルウェアは、依然として最も蔓延している脅威ファミリーであり、脅威ランドスケープを支配しています。これらの脅威は、侵害されたシステムでの検知を回避するため、一見無害に見える画像ファイルなどの形式の中に悪意のあるコードを偽装する、高度な暗号化、ローダー、そしてステガノグラフィ技術をますます利用しています。
Splunk Threat Research Team (STRT) は、2025年8月にQuasar RATを配信するためにステガノグラフィを使用した.NETローダーを分析しましたが、今回その進化形となる変種を特定しました。この更新されたバージョンには、検知を回避し、ペイロードの抽出を複雑にするための追加モジュールが含まれており、以前文書化された変種からの顕著な進歩を示しています。
巧妙な検知回避メカニズム
この悪意のあるローダーは、正規のビジネス通信、例えば「見積依頼(RFQ)」のような一般的な取引用語を用いて、被害者を誘い込み、感染ファイルを解凍して開かせます。従来のバージョンが悪意のある画像を直接.NETリソースメタデータに埋め込んでいたのとは異なり、この変種はより洗練されたアプローチを採用しています。
ローダーは、追加モジュールを復号し、割り当てられたメモリ空間に直接ロードします。このモジュールはコンテナとして機能し、2つの独立したモジュールを格納しています。これらのステージャーコンポーネントは、.NETリソースメタデータに埋め込まれたBMPファイルとPNGファイルという2つの画像ファイル内に隠蔽されています。このアーキテクチャ変更は、検知の取り組みを著しく複雑にします。コンテナモジュールは実行時にのみ復号・ロードされるため、静的解析ツールや自動ペイロード抽出システムが、コンテナモジュールをまず復号せずに脅威を特定することは非常に困難です。
情報窃取ペイロード「Lokibot」の脅威
このステガノグラフィ型ローダーによって配信される最終ペイロードは、悪名高い情報窃取マルウェアであるLokibotです。Lokibotは2015年にアンダーグラウンドフォーラムで初めて宣伝され、2018年のソースコード流出と低コストな取得により、サイバー犯罪者の間で広く利用されるようになりました。
このマルウェアは主にWindowsシステムを標的とし、ブラウザやアプリケーションの認証情報、仮想通貨ウォレット、キーストロークを収集し、追加のペイロードのためのバックドアを提供することも可能です。ローダーのPEファイルタイムスタンプの分析から、一部のサンプルは古いビルドバージョンに由来するものの、脅威アクターがこの最新のローダー変種を使用してLokibotを積極的に配布し続けていることが示唆されており、マルウェアの展開戦略における継続的な開発と更新がうかがえます。
抽出されたLokibotペイロードは、複数のカテゴリにわたる多数のアプリケーションを標的とする広範なデータ収集能力を示しています。マルウェアは、Firefox、Opera、Chromeの各ブラウザ、FileZillaやWinSCPのようなFTPクライアント、ThunderbirdやOutlookのようなメールクライアント、そしてKeePassやRoboformを含むパスワードマネージャーから体系的に認証情報を収集します。さらに、Outlookのプロファイル情報にアクセスし、Windowsレジストリのエントリに保存されているメール認証情報と設定データを抽出します。
MITRE ATT&CKテクニックを用いた攻撃
Lokibotは、複数のMITRE ATT&CKテクニックを組み合わせて使用します。これには以下が含まれます。
- 時間ベースの回避
- システム情報収集
- lsass.exeおよびvbc.exeプロセスへのプロセスインジェクション
- SeDebugPrivilegeを有効にするためのアクセス・トークン操作
- 永続化のためのスケジュールタスク作成
Splunkによる検知と対策
Splunk Threat Research Teamは、このマルウェアファミリーに対する包括的な検知カバレッジを開発し、抽出されたすべてのMITRE ATT&CKの戦術と技術に対応する26のSplunk検知ルールを作成しました。主要な検知項目には以下のようなものがあります。
- XML経由で作成されたスケジュールタスクの監視
- 疑わしいパスでの実行ファイルやスクリプトの作成
- モジュールとしてロードされる実行ファイル
- 通常インターネットアクセスを必要としないvbc.exeからの異常なDNSクエリ
これらの検出は、この高度なマルウェアの脅威からシステムを保護するための重要な手段となります。