※ 本ブログは、2024年9月24日にHP WOLF SECURITY BLOGにポストされた HP Wolf Security Threat Insights Report: September 2024 の日本語訳です。
HP Wolf Security 脅威インサイトレポートの2024年9月版へようこそ。四半期ごとに我々のセキュリティエキスパートが、HPWolf Securityで特定された注目すべきマルウェアキャンペーン、トレンド、テクニックを紹介します。検知ツールを回避してエンドポイントに到達した脅威を隔離することで、HP Wolf Securityは、サイバー犯罪者が使用している最新のテクニックを把握し、セキュリティチームに新たな脅威と戦うための知識を与え、セキュリティ体制を向上させます。[1] 本レポートでは、2024年第2四半期に実際に発生した脅威について解説します。
ChromeLoaderは、Chromium Webブラウザの拡張機能としてインストールされ、被害者のブラウジングセッションを監視および制御できるマルウェアファミリーです。[5] 2022年に初めて確認されたこのマルウェアは、主に悪意のある広告(T1583.008)[6]を通じて配布されています。その運営者は、感染したWebブラウザからの検索クエリを乗っ取り、広告をホストする攻撃者管理のWebサイトに被害者をリダイレクトすることで、アドフラウド(Ad Fraud)によってマルウェアから利益を得ています。昨年、我々は、マルウェアの仕組みと、そのオペレーターの戦術、技術、手順(TTP)について詳しく調査した記事[11]を書きました。
2024年第2四半期、ChromeLoaderの活動が増加し、拡散方法にも変化が見られました。これまで ChromeLoaderは海賊版のソフトウェア、ゲーム、映画を宣伝するWebサイトにホストされた悪意のあるスクリプトファイルを通じて拡散していました。しかし、最近の大型キャンペーンでは、攻撃者は、PDF変換ツール、家電製品のマニュアルリーダー、レシピガイ ド(T1036)[12]などの検索エンジンの人気キーワードに関連する偽のソフトウェアインストーラー内にマルウ ェアを仕込むことで、より広範な潜在的な被害者を標的にしています。
感染チェーンは、攻撃者がドメインを登録(T1583.001)し、偽のソフトウェアインストーラの宣伝とホスティングにそれを利用することから始まります。13 潜在的な被害者は、検索エンジンの広告を通じてWebサイトに誘導され、そこでソフトウェアインストーラのダウンロードを勧められます。Webサイトは洗練され巧みにデザインされており、ユーザーがソフトウェアが偽物であることに気づくのは困難です。(図1)
ダウンロードボタンをクリックすると、被害者にはWindowsインストーラー(.msi)パッケージが提供(T1218.007)[8]されます。これらのファイルは、Windowsシステムにソフトウェアをインストールするために標準で使用されるため、疑いを招く可能性は低いでしょう。マルウェアをより発見されにくくするために、攻撃者はインストールファイルに有効なコードサイニング証明書を使用して署名(T1553.002)[9]しています。このため、インストールはAppLockerセキュリティポリシー(Windowsに組み込まれているアプリケーションの許可リスト作成技術)によってブロックされることもなく、ユーザーに警告が表示されることもありません。コードサイニング証明書が正規の企業から盗まれた可能性もありますし、脅威アクターが証明書を取得するために企業を登録した可能性もあります。
証明書の発行者によっては、失効プロセスに数ヶ月という長い時間がかかる場合もあり、マルウェアは長期間にわたって危険な状態になります。MSIファイルが開かれると、被害者には典型的なアプリケーションインストーラーのプロセスが表示され、利用規約やプライバシーポリシーへの同意を求められます。その間、マルウェアはAppData/Localディレクトリにインストールされます。興味深いことに、このソフトウェアは埋め込みのWebビューを介してユーザーの期待通りに動作するため、ITチームに疑わしいとして報告される可能性が低くなります。
る可能性が低くなります。
このマルウェアは、レジストリ Runキー(T1547.001)[14] を通じてPCに常駐します。PCが起動するたびに、NodeJS JavaScript ランタイム環境(node.exe)を利用して JavaScript ファイル(T1059.007)が実行されます。[4] このスクリプトは更新をチェックし、悪意のあるブラウザ拡張機能 ChromeLoader がサイドロードされた Chrome ブラウザを起動します。(T1176)[15]
6月初旬、HP Sure Clickは請求書に見せかけた異常なフランス語のメール添付ファイルを隔離しました。この添付ファイルは単なるHTMLファイルで、ブラウザで開くとパスワードの入力を求められます。コードの初期分析により、これはHTMLスマグリング(T1027.006)[16]であることが判明しました。 しかし、この種の他のほとんどの脅威とは対照的に、HTMLファイル内に格納されたペイロードはアーカイブ内で暗号化されていませんでした。その代わり、ファイルはJavaScriptコード自体の中で暗号化されていました。攻撃者はAESを使用してファイルを暗号化し、ミスなく実装しました。つまり、ファイルを復号するには正しいパスワードが必要(T1027.013)[17]です。
メール本文は持っていなかったものの、コード内のさまざまな手がかりから、復号化されたファイルはZIPアーカイブであることが分かりました。また、パスワードはそれほど複雑ではないだろうと推測しました。その結果、妥当な時間内でブルートフォース攻撃を実施することができ、正しいパスワードを復元することに成功しました。
復号化されたアーカイブには、VBScriptファイル(T1059.005)[3]が含まれています 。実行されると、感染チェーンが始まり、最終的にリモートアクセス型トロイの木馬(RAT)である AsyncRAT が展開されます。 VBScript は、Windows レジストリにさまざまな変数(T1112)を書き込みます。これらの変数は、チェーンの中で後ほど再利用[18] されます。ユーザーディレクトリにドロップされた JavaScript ファイル(T1059.007)は、スケジュールされたタスク(T1053.005)4 [19]によって実行されます 。
このスクリプトは、レジストリから最初の変数であるPowerShellスクリプト (T1059.001)[20] を読み取り、新たに開始されたPowerShellプロセスにそれをインジェクトします。その後、PowerShellスクリプトは他のレジストリ変数を利用し、さらに2つの実行可能ファイルを実行します。それらの実行可能ファイルは、正当なプロセス (T1055) [21] にインジェクトされた後、マルウェアのペイロードを開始します。
AsyncRATは、被害者のコンピューターをコントロールするために使用されるオープンソースのRATです。入手が容易であるため、脅威アクターがすべきことは、マルウェアを配信してインストールするための感染チェーンを開発することだけです。
興味深いことに、VBScriptとJavaScriptを分析した際に、コードが難読化されていないことが分かり、我々は驚きました。事実、攻撃者はコード全体にコメントを残しており、各行が何を行っているかを記述していました。単純な関数についても同様です。攻撃者はマルウェアをできるだけ理解しにくいものにしたいと考えているため、マルウェアに正当なコードのコメントが残されていることはまれです。
スクリプトの構造、各機能の一貫したコメント、機能名と変数の選択に基づいて推測すると、攻撃者がGenAIを使用してこれらのスクリプト(T1588.007)[5]を開発した可能性が高いと考えられます。この活動は、生成AIが攻撃を加速し、サイバー犯罪者がエンドポイントに感染させるためのハードルを低くしていることを示しています。
攻撃者は検知を回避するために、エンドポイントに感染させるための変わった方法がないか常に探しています。第2四半期には、Scalable Vector Graphics(SVG)を通じてマルウェアを拡散させる興味深いキャンペーンが確認されました。グラフィックデザインやウェブで広く使用されているSVGフォーマットはXMLをベースとしており、スクリプトを含む多くの機能に対応しています。攻撃者はこのフォーマットのスクリプト機能を悪用し、画像内に悪意のあるJavaScriptを埋め込み (T1027.009)[10]、最終的に、複数のインフォスティーラーを被害者のエンドポイントに侵入させようとしました。
SVG 画像をWebブラウザで開くと、埋め込まれた JavaScript コードが実行されます。Base64 エンコードされた ZIP アーカイブがデコードされ、ユーザーがダウンロードができるようになります。このアーカイブには、実行するとリモート Web サーバー(T1021.002) [22]でホストされている Server Message Block(SMB)ファイル共有を読み込むファイルエクスプローラーウィンドウが開く URL ファイルが含まれています。そこに保存されているのはショートカット(.lnk)ファイルです。ショートカットを開くと、cmd.exeコマンドを使用してバッチファイルがダウンロードされ、ユーザーのミュージックディレクトリ に保存された後、実行されます。このバッチファイル がダウンローダーとして機能します。ただし、まずスクリプトが囮のPDFドキュメントを開き、ユーザーの注意をそらします。
次に、バッチファイルが、SMB共有からユーザーのローカルの「写真」および「スタートアップ」フォルダに、さまざまなスクリプト(VBS、CMD、BAT、PowerShell)をコピーします。これは永続的メカニズム(T1547.001) [14]として機能します。最後に、忘れてならないのは、これらのダウンロードされたスクリプトのほとんどが実行され、さまざまな感染シナリオにつながることです。SMB共有利用して、複数のマルウェアファミリーがエンドポイントにインストールされます。これには、Venom RAT [23]、XWorm [24]、Remcos [25]、AsyncRAT2が含まれます。
検知を回避するために合法的なクラウドサービスを悪用することは、攻撃者に依然としてよく使われる手法です。Aggahマルウェアキャンペーンも例外ではありません。[26] この脅威アクターのキャンペーンには、以下の特徴があります:
これらのTTPは、ネットワークの防御者にとって、Aggahの活動を検知し阻止することを困難にしています。このマルウェアは、BlogspotやMediafireなどの正規のWebサービスに接続し、テキストデータのみをダウンロードします。
4月末に確認したキャンペーンでは、AggahのTTP(攻撃手法)に変化が見られ、初期感染形式としてPDFドキュメントが利用されるようになっていました。これまでは、Aggahのキャンペーンでは主に、PowerPointプレゼンテーションなどの武器化されたOfficeドキュメントが使用されていました。
PDFドキュメントを開こうとすると、ユーザーには「ドキュメントは正常に読み込まれませんでした。代わりにダウンロードしてください」というメッセージが表示されます。多くのユーザーがWebブラウザでPDFドキュメントを閲覧しているため、このメッセージは妥当に思えます。
しかし、ダウンロードボタンをクリックすると、PDFドキュメントではなく、異なるファイル拡張子が付いた同名のVBSファイルがダウンロード(T1036.008) [30]されます。このスクリプトは、blogspot.comのリダイレクトを経由してMediafireからダウンロードされます。ユーザーがファイルを開くことで、感染チェーンが始まります。
この VBScript は非常に小さく、PowerShell スクリプトをダウンロードして実行するだけです。その際、 Blogspot に再度問い合わせを行い、usrfiles[.]com からのリダイレクトによりダウンロードが実行されます。この PowerShell スクリプトには、さまざまなスクリプトブロックとエンコードされた実行ファイルが含まれており、実行時にデコードされます。
まず、スクリプトは既知の AMSI バイパスを実行し、レジストリキー「HKCU:Software:Classes:CLSID:
{fdb00e52-a214-4aa1-8fba-4357bb0072ec}\ InProcServer32」を実在しないダイナミックリンクライブラリに設定します。これにより、実行されたPowerShellコードはマルウェアに対して正しくスキャンされなくなります(T1562.001)。[29] その後、 PowerShell スクリプトは、Microsoft Defender にさまざまなファイルタイプ、プロセス、およびネットワークの除外を追加し、制御されたフォルダーアクセスや侵入防止システムなどのさまざまなセキュリティ機能を無効にします。これらのタスクが完了すると、"System32"という名前の新しいローカルユーザーが作成され、AdministratorとRemote Desktopユーザーグループに追加されます(T1136.001)。[31] 最後に、 Windowsファイアウォールが無効化され、WinDefendサービスの停止が試みられます。
これらの防御回避策の後、ペイロードが復号化され起動します。これは.NETバイナリであり、正当な名前で実行するために、新たに開始されたプロセスに注入されます。展開されたマルウェアファミリーはAgent Teslaです。[32] このマルウェアは、感染したエンドポイントから情報および認証情報を収集し、このデータをあらかじめ設定されたDiscordのチャットチャンネル経由で外部に送信します(T1102)。[27]さらに、PowerShellスクリプトは、PC起動時に毎回マルウェアを起動するために、新しいVBScriptをスタートアップフォルダに保存します(T1547.001)。[14]
初期感染ファイル形式の変化は注目に値します。しかし、それと同じくらい注目に値するのは、Aggahの他のTTPが過去4年間でほとんど変化していないことです。これは、この脅威アクターが、行動を根本的に変えることなく、システムへの侵入を成功させ続けていることを示唆しています。
第2四半期には、最も人気の高いマルウェアの配信タイプとしてアーカイブが首位に返り咲きました(HP Sure Clickで検知された脅威の39%)。これは、第1四半期から11ポイント上昇しています。脅威アクターは、第2四半期に50種類のアーカイブファイル形式を悪用し、そのうち26%はZIPファイルでした。実行ファイルとスクリプトは、2番目に人気の高いマルウェアの配信ファイルタイプ(脅威の35%)でした。
第1四半期以前は、7四半期連続でアーカイブが最も人気の高いマルウェア配信ファイルタイプでした。これは、攻撃者がパスワードで保護されたアーカイブ内に悪意のあるスクリプトを埋め込むことで推進されていました。
脅威の11%は、Microsoft Word形式(DOC、DOCXなど)のドキュメントに依存しており、悪意のあるスプレッドシート(XLS、XLSXなど)は脅威全体の5%でした。脅威の7%はPDFファイルでした。残りの3%の脅威は、他のアプリケーションタイプを使用していました。
Eメールは、エンドポイントにマルウェアを送り込む手段として依然として最も多く使われており(脅威全体の61%)、第1四半期と比較して8%ポイント増加しました。悪意のあるWebブラウザのダウンロードは、第2四半期に7%ポイント減少し、18%となりました。リムーバブルメディアなどの他の手段で送り込まれる脅威は、前四半期と比較して1%ポイント減少し、脅威全体の21%を占めました。.
HP Wolf Securityが第2四半期に検知したEメール脅威のうち、少なくとも12%は1つ以上のEメールゲートウェイスキャナーを回避しており、第1四半期から変化はありませんでした。
HP Wolf Security 脅威インサイトレポートは、ほとんどのお客様が脅威のテレメトリをHPと共有することを選択することによって実現されています。当社のセキュリティ専門家は、脅威の傾向や重要なマルウェアキャンペーンを分析し、洞察を注釈したアラートを顧客にフィードバックしています。
HP Wolf Security の導入を最大限に活用するために、お客様には以下のステップを踏むことをお勧めします。[a]
HP Threat Research チームは、セキュリティチームが脅威から身を守るために役立つ 侵害の痕跡 (IOC) やツールを定期的に公開しています。これらのリソースは、HP Threat Research GitHub リポジトリからアクセスできます。[36] 最新の脅威に関する調査については、HP WOLF SECURITY ブログ [37] にアクセスしてください。
企業は、ユーザーがEメールの添付ファイルを開いたり、Eメール内のハイパーリンクをクリックしたり、Webからファイルをダウンロードすることに対して最も脆弱です。HP Wolf Securityは、リスクの高いアクティビティをマイクロVMに隔離し、ホストコンピュータがマルウェアに感染したり、企業ネットワークに広がったりしないようにすることで企業を保護します。HP Wolf Securityは、イントロスペクションを使用して豊富なフォレンジックデータを収集し、お客様のネットワークが直面する脅威を理解し、インフラストラクチャを強化できるよう支援します。HP Wolf Security 脅威インサイトレポートは、当社の脅威研究チームが分析した注目すべきマルウェアキャンペーンを紹介し、お客様が新たな脅威を認識し、環境を保護するために行動を起こすことができるようにします。
HP Wolf Securityは、新しいタイプ[c]のエンドポイントセキュリティです。HPのハードウェアで強化されたセキュリ ティとエンドポイントに特化したセキュリティサービスのポートフォリオは、組織がPC、プリンター、そして人々を、取り囲むサイバー犯罪者から守るために設計されています。HP Wolf Security は、ハードウェア・レベル からソフトウェアやサービスに至るまで、包括的なエンドポイントの保護とレジリエンスを提供します。
[2] https://malpedia.caad.fkie.fraunhofer.de/details/win.asyncrat
[3] https://attack.mitre.org/techniques/T1059/005/
[4] https://attack.mitre.org/techniques/T1059/007/
[5] https://attack.mitre.org/techniques/T1588/007/
[6] https://malpedia.caad.fkie.fraunhofer.de/details/win.choziosi
[7] https://attack.mitre.org/techniques/T1583/008/
[8] https://attack.mitre.org/techniques/T1218/007/
[9] https://attack.mitre.org/techniques/T1553/002/
[10] https://attack.mitre.org/techniques/T1027/009/
[11] https://jp.ext.hp.com/blog/security/product/shampoo-a-new-chromeloader-campaign/
[12] https://attack.mitre.org/techniques/T1036/
[13] https://attack.mitre.org/techniques/T1583/001/
[14] https://attack.mitre.org/techniques/T1547/001/
[15] https://attack.mitre.org/techniques/T1176/
[16] https://attack.mitre.org/techniques/T1027/006/
[17] https://attack.mitre.org/techniques/T1027/013/
[18] https://attack.mitre.org/techniques/T1112/
[19] https://attack.mitre.org/techniques/T1053/005/
[20] https://attack.mitre.org/techniques/T1059/001/
[21] https://attack.mitre.org/techniques/T1055/
[22] https://attack.mitre.org/techniques/T1021/002/
[23] https://malpedia.caad.fkie.fraunhofer.de/details/win.venom
[24] https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm
[25] https://malpedia.caad.fkie.fraunhofer.de/details/win.remcos
[27] https://attack.mitre.org/techniques/T1102/
[28] https://attack.mitre.org/techniques/T1027/013/
[29] https://attack.mitre.org/techniques/T1562/001/
[30] https://attack.mitre.org/techniques/T1036/008/
[31] https://attack.mitre.org/techniques/T1136/001/
[32] https://malpedia.caad.fkie.fraunhofer.de/details/win.agent_tesla
[33] https://enterprisesecurity.hp.com/s/article/Threat-Forwarding
[34] https://enterprisesecurity.hp.com/s/article/HP-Threat-Intelligence
[35] https://enterprisesecurity.hp.com/s/
a. HP Wolf Enterprise Securityはオプションサービスで、HP Sure Click EnterpriseやHP Sure Access Enterpriseなどが該当します。HP Sure Click Enterpriseは、Windows 10が必要で、Microsoft Internet Explorer、Google Chrome、ChromiumまたはFirefoxに対応しています。Microsoft OfficeまたはAdobe Acrobatがインストールされている場合、サポートされている文書には、Microsoft Office(Word、Excel、PowerPoint)およびPDFファイルが含まれます。HPSure Access Enterpriseには、Windows 10 ProまたはEnterpriseが必要です。HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件による影響を一切受けません。完全なシステム要件については、以下を参照ください。www.hpdaas.com/requirements
b. HP Wolf Security Controllerは、HP Sure Click EnterpriseまたはHP Sure Access Enterpriseが必要です。HP Wolf Security Controllerは、デバイスやアプリケーションに関する重要なデータを提供する管理・分析プラットフォームで、スタンドアロンサービスとしては販売していません。HP Wolf Security Controllerは、厳格なGDPRプライバシー規制に従っており、情報セキュリティに関してISO27001、ISO27017、SOC2 Type2の認証を受けています。HPクラウドへの接続が可能なインターネットアクセスが必要です。完全なシステム要件については、以下を参照ください。http://www.hpdaas.com/requirements
c. HP SecurityはHP Wolf Securityになりました。セキュリティ機能はプラットフォームによって異なりますので、詳細は製品データシートをご覧ください。
HPのサービスは、ご購入時にお客様に提供または提示される、当該HPのサービスに適用される使用条件に準拠します。お客様によっては該当地域の法令に従ってその他の法的権利を有することもあり、その場合には当該権利はHPサービスお取引条件またはお使いのHP製品とともに提供されるHP限定保証条件にによる影響を一切受けません。
© Copyright 2022 HP Development Company, L.P. ここに記載されている情報は、予告なく変更されることがあります。HP の製品およびサービスに関する唯一の保証は、当該製品およびサービスに付随する明示的な保証書に記載されています。本書のいかなる内容も、追加的な保証を構成することは一切ありません。HP は、本書に含まれる技術的または編集上の誤りや脱落について責任を負いません。
Author : HP WOLF SECURITY