Last Updated on 2024-06-20 20:20 by 荒木 啓介
サイバーセキュリティ研究者たちは、中国の組織を標的としたフィッシングキャンペーンを通じて拡散する新たな回避型マルウェアローダー「SquidLoader」を発見した。AT&T LevelBlue Labsが2024年4月下旬に初めてこのマルウェアを観測し、静的および動的解析を回避し、検出を逃れるよう設計された機能を備えていると述べた。攻撃チェーンは、Microsoft Word文書に偽装した添付ファイルを含むフィッシングメールを利用し、実際にはマルウェアの実行を可能にするバイナリであり、リモートサーバーから第二段階のシェルコードペイロードを取得するために使用される。
これらのローダーは、検出を避けながら分析を妨げる重度の回避および囮メカニズムを特徴としている。配布されるシェルコードは、ペイロードをディスクに書き込むリスクを避けるために、同じローダープロセス内でロードされる。SquidLoaderは、暗号化されたコードセグメント、未使用の無意味なコード、制御フローグラフ(CFG)の難読化、デバッガ検出、Windows NT APIの呼び出しではなく直接システムコールを実行するなどの防御回避技術を採用している。
ローダーマルウェアは、脅威アクターがコンプロマイズされたホストに追加のペイロードを配信および起動し、アンチウイルス防御などのセキュリティ対策を回避するための人気商品となっている。昨年、AonのStroz Friedbergインシデントは、Taurus情報窃取ツールおよびAgentVXなどのマルウェアを配布していると観測されたTaurus Loaderというローダーについて詳述した。
また、2023年2月に登場して以来、開発者によって積極的に開発が続けられているマルウェアローダーおよびバックドアであるPikaBotの新たな詳細な分析が行われた。このマルウェアは、検出を回避し分析を困難にするための高度なアンチアナリシス技術を採用しており、システムチェック、間接的なシステムコール、次段階および文字列の暗号化、動的API解決などが含まれる。最近の更新により、その機能がさらに強化され、検出および軽減がさらに困難になっている。
【ニュース解説】
サイバーセキュリティの研究者たちは、中国の組織を狙ったフィッシングキャンペーンを通じて拡散する新型の回避型マルウェア「SquidLoader」を発見しました。このマルウェアは、静的および動的な解析を回避し、検出を逃れるために設計された特徴を持っています。攻撃の手法としては、Microsoft Word文書に偽装した添付ファイルを介してマルウェアを実行し、その後リモートサーバーからさらなる攻撃コードをダウンロードするというものです。
SquidLoaderは、検出を避けるために複数の回避技術を採用しています。これには、暗号化されたコードセグメント、使用されない無意味なコード、制御フローグラフの難読化、デバッガ検出、そしてWindowsの標準APIを使用せずに直接システムコールを行うことが含まれます。これらの技術は、マルウェアがセキュリティソフトウェアによって検出されるのを防ぎ、分析を困難にします。
ローダーマルウェアは、攻撃者がコンプロマイズされたシステムに追加の悪意あるペイロードを配信し、実行するための手段として人気があります。これにより、アンチウイルスソフトウェアやその他のセキュリティ対策を回避することが可能になります。例えば、過去にはTaurus LoaderやPikaBotなどのローダーが、情報窃取ツールやトロイの木馬を配布するために使用されていました。
このようなマルウェアの発見は、サイバーセキュリティの分野における継続的な脅威の進化を示しています。攻撃者は常に新しい手法を開発し、既存のセキュリティ対策を回避するための方法を模索しています。そのため、組織は定期的なセキュリティ評価、従業員の教育、そして最新の脅威情報に基づいた防御策の更新を行うことが重要です。
また、このようなマルウェアの発見と分析は、サイバーセキュリティコミュニティにとって貴重な情報を提供します。これにより、セキュリティ研究者や企業は、新たな脅威に対する防御策を開発し、適用することができます。しかし、攻撃者もまた、検出を避けるために新しい技術を開発し続けるため、サイバーセキュリティは常に進化し続ける分野であると言えます。
from Experts Uncover New Evasive SquidLoader Malware Targeting Chinese Organizations.
