イントロダクション
今年初め、VIPキーロガーについて詳述したホワイトペーパーを公開しました。これは、スピアフィッシングとステガノグラフィーを駆使して被害者のシステムに侵入する高度なマルウェアです。このキーロガーは、特にWebブラウザやユーザーの認証情報を標的としたデータ窃取機能で知られています。
最近確認されたキャンペーンでは、脅威アクターが再びスピアフィッシング戦術を用いてマルウェアを拡散しています。ただし、以前のキャンペーンとは異なり、今回のキャンペーンではAuto-Itベースのインジェクターを使用して最終的なペイロードであるVIPキーロガーを展開しています。
このマルウェアは通常、悪意のある添付ファイルや埋め込みリンクを含むフィッシングメールを介して配信されます。実行されると、VIPキーロガーがインストールされます。VIPキーロガーは、キー入力を記録し、Chrome、MS Edge、Mozillaなどの広く使用されているWebブラウザから認証情報を取得し、クリップボードのアクティビティを監視することで、機密情報を盗むように特別に設計されています。
このキャンペーンでは、悪意のあるペイロードの配信と実行にAutoItスクリプトが利用されています。脅威アクターは、AutoItの難読化の容易さと、スクリプトを実行ファイルにコンパイルする能力(従来のアンチウイルスソリューションの検知を回避できる)から、AutoItを頻繁に利用します。
感染チェーンとプロセスツリー:
このキャンペーンは、「payment receipt_USD 86,780.00.pdf.pdf.z」というZIPファイルを含んだスピアフィッシングメールから始まります。このアーカイブには、「payment receipt_USD 86,780.00 pdf.exe」に偽装された悪意のある実行ファイルが含まれており、ユーザーに無害な文書だと思わせます。実行されると、この実行ファイルは埋め込まれたAutoItスクリプトを実行し、暗号化されたXNUMXつのファイル(leucoryxとavenes)をtempフォルダにドロップします。これらのファイルは実行時に復号され、最終的なペイロードであるVIP Keyloggerが、プロセスホローイング技術を用いてRegSvcs.exeに挿入されます(下図参照)。
浸潤:
このキャンペーンは、「payment receipt_USD 86,780.00 pdf.pdf.z」というZIPファイルを添付したスピアフィッシングメールから始まります。このアーカイブには、「payment receipt_USD 86,780.00 pdf.exe」に偽装された悪意のある実行ファイルが含まれており、ユーザーに無害な文書だと思わせます。実行されると、埋め込まれたAutoItスクリプトが実行され、以下の画像に示すように、VIPキーロガーがシステムにドロップされます。
実行可能ファイルがさらに含まれる Zip 添付ファイル。
実行中に、下の図に示すように、leucorynx と aveness という名前の 2 つのファイルがシステムの Temp ディレクトリにドロップされます。
AutoIt スクリプト:
このAutoItスクリプトは、メモリ内にドロップされたペイロードを復号して実行します。まず、tempディレクトリ内の暗号化されたファイルleucoryxをチェックし、その内容を読み取り、カスタムXOR関数(KHIXTKVLO)を使用して復号します。復号されたデータはメモリ構造体に保存されます。
復号されたペイロードへのポインタを取得し、DllCallを使用して実行メモリを割り当て、割り当てられたメモリにペイロードをコピーします。2回目のDllCallが実行をトリガーし、メモリ内でペイロードを実行します。
下の図に示すように、leucorynx にはデコード ファイルへのキーが含まれています。
マルウェアは、永続性を維持するために、スタートアップフォルダに.vbsスクリプトをドロップします。このスクリプトは、「AppData\Local」ディレクトリにあるプライマリペイロードを実行します。
VB スクリプトは、ユーザーがログインするたびに「AppData\Local\Dunlop」ディレクトリにあるペイロード (definitiveness.exe) が実行され、再起動のたびにバックグラウンドでサイレントに動作するようにします。
ドロップされたファイル「avness」は、以下の図に示すようにメモリにロードされます。ロードされると、その内容はカスタム復号ルーチンに渡され、埋め込まれたペイロードの解凍またはデコードが行われます。
下の図は、暗号化されたペイロードのアドレスと XOR キーを引数として受け取る復号化関数を示しています。
下の図は、ペイロードが反復的にデコードされる復号ループを示しています。メモリダンプには、ペイロードの復号されたコンテンツが表示されています。
復号化されたペイロードは .NET VIP キーロガーです。
プロセスホローイング:
下の図は、プロセス・ホロウイングの使用例を示しています。ここでは、CreateProcessを使用してRegSvcs.exeが一時停止状態で生成されます。これにより、マルウェアは元のコードをアンマップし、実行を再開する前に独自のペイロードをプロセスメモリに挿入することができます。
下図に示すように、復号されたペイロードはregsvc.exeのアドレス空間にマッピングされます。メモリダンプには、ペイロードに関連付けられた文字列が含まれています。
ペイロード: VIPキーロガー
このキャンペーンで配信された最後のペイロードはVIPキーロガーであり、その機能、能力、動作については既に包括的な分析をまとめています。 技術論文 VIP Keylogger について。
IOC:
| MD5 | ファイル名 |
| F0AD3189FE9076DDD632D304E6BEE9E8 | 支払い領収書_USD 86,780.00 pdf.exe |
| 0B0AE173FABFCE0C5FBA521D71895726 | VIPキーロガー |
| ドメイン/IP | |
| hxxp[:]//51.38.247.67:8081 |
保護:
Trojan.AgentCiR
Trojan.YakbeexMSIL.ZZ4
マイター攻撃&CK:
| 戦略 | テクニックID | 名前 |
| 難読化 | T1027 | 難読化されたファイルまたは情報 |
| 実行 | T1204.002 | ユーザーの実行:悪意のあるファイル |
| 実行 | T1059.006 | コマンドおよびスクリプト インタープリター: Python |
| スクリーンキャプチャ | T1113 | スクリーンキャプチャ |
| 被害者ホスト情報を収集する | T1592 | システム情報を収集する |
| 入力キャプチャ | T1056 | キーロギング |
| 防衛回避 | T1055.002 | プロセス インジェクション: ポータブル実行可能インジェクション |
| コンテンツインジェクション | T1659 | システムに悪意のあるコードを挿入する |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル |
著者:
ヴァイブハブ・ビラデ
ルマナ・シディキ
