innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警戒必須!HijackLoaderが防御回避技術を進化させる

警戒必須!HijackLoaderが防御回避技術を進化させる - innovaTopia - (イノベトピア)

Last Updated on 2024-07-05 09:37 by admin

HijackLoader、最新の回避手法を研究者が解明

HijackLoaderと呼ばれるローダーマルウェアの背後にいる脅威アクターが、防御回避のための新しい技術を追加しました。このマルウェアは、他の脅威アクターによって追加のペイロードやツールを配信するためにますます使用されています。CrowdStrikeの研究者であるDonato OnofriとEmanuele Calvelliは、「マルウェア開発者は、標準的なプロセスホローイング技術に加えて、親プロセスがパイプに書き込むことによってアクティブ化される追加のトリガーを使用しました」と述べています。この新しいアプローチは、防御回避をより隠密にする可能性があります。

HijackLoaderは、2023年9月にZscaler ThreatLabzによって、DanaBot、SystemBC、RedLine Stealerを配信するための手段として使用されていたことが初めて文書化されました。また、IDAT Loaderと呼ばれる別のローダーと高い類似性を共有していることでも知られています。これらのローダーは、同じサイバー犯罪グループによって運用されていると評価されています。その後の数ヶ月間で、HijackLoaderはClearFakeを介して拡散され、TA544(別名Narwhal Spider、Gold Essex、Ursnif Gang)によって、フィッシングメッセージを介してRemcos RATとSystemBCを配信するために使用されました。

CrowdStrikeの脅威研究および報告のディレクターであるLiviu Arseneは、「ローダーは、より洗練された脅威やツールをこっそりと導入し、実行するための狼の皮をかぶった羊のようなものです」と述べています。この最新バリアントのHijackLoader(別名IDAT Loader)は、新しい技術を追加し、実験することで、その隠密性を高めています。これは、その変装を強化し、より隠密で、より複雑で、分析がより困難になることを意味します。本質的に、彼らはデジタル迷彩を洗練させています。

攻撃チェーンの開始点は、アクティブなインターネット接続をチェックし、リモートサーバーから第二段階の設定をダウンロードする実行可能ファイル(”streaming_client.exe”)です。その後、実行可能ファイルは、シェルコードをアクティブ化するために設定で指定された正当な動的リンクライブラリ(DLL)をロードし、プロセスドッペルゲンガーとプロセスホローイングの技術の組み合わせを介してHijackLoaderペイロードを起動します。これにより、分析の複雑さと防御回避能力が向上します。

HijackLoaderの第二段階の位置独立型シェルコードは、Heaven’s Gateと呼ばれる手法を使用してユーザーモードフックを回避するいくつかの回避活動を実行し、その後のシェルコードをcmd.exeに注入します。この注入は、新しく生成されたcmd.exeの子プロセスにmshtml.dllを注入するプロセスホローイングの変種を介して達成されます。Heaven’s Gateは、32ビットプロセス内で64ビットコードを呼び出すことにより、エンドポイントセキュリティ製品を回避する隠密なトリックを指します。

【ニュース解説】

HijackLoaderというローダーマルウェアが、防御回避のための新しい技術を取り入れたことが研究者によって明らかにされました。このマルウェアは、他の脅威アクターによってさまざまなペイロードやツールを配信するために使用されており、その隠密性を高めるために進化を続けています。

このマルウェアは、プロセスホローイングという技術に加え、親プロセスがパイプに書き込むことでアクティブ化されるトリガーを使用することで、その隠密性をさらに強化しています。プロセスホローイングとは、正当なプロセスの中にマルウェアを隠す技術であり、この新しいトリガーにより、検出を回避する能力が向上しています。

HijackLoaderは、フィッシングメッセージを介して様々なマルウェアを配信するために使用されており、その手法はますます洗練されています。攻撃チェーンの開始点では、インターネット接続の確認後にリモートサーバーから設定をダウンロードし、その後、正当なDLLを利用してマルウェアを起動します。このプロセスでは、プロセスドッペルゲンガーとプロセスホローイングの技術が組み合わされ、分析と検出を困難にしています。

また、HijackLoaderはHeaven’s Gateという技術を使用して、32ビットプロセス内で64ビットコードを実行し、セキュリティ製品の検出を回避する能力を持っています。これにより、マルウェアの隠密性がさらに高まり、セキュリティ対策を複雑にしています。

このような進化を遂げるマルウェアは、セキュリティ対策に新たな課題をもたらします。特に、新しい防御回避技術の開発は、従来のセキュリティソリューションを回避するための試みであり、セキュリティ研究者にとって分析がより困難になることを意味します。このため、セキュリティ対策の継続的な更新と進化が必要とされ、脅威に対する理解を深め、適切な対策を講じることが重要です。

また、このようなマルウェアの進化は、サイバーセキュリティの分野における継続的な研究と開発の重要性を示しています。新しい脅威に対応するためには、最新の技術動向を把握し、セキュリティ対策を常に最前線で更新し続ける必要があります。

from HijackLoader Evolves: Researchers Decode the Latest Evasion Methods.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警戒必須!HijackLoaderが防御回避技術を進化させる

“警戒必須!HijackLoaderが防御回避技術を進化させる” への1件のコメント

  1. 鈴木 一郎のアバター
    鈴木 一郎

    この記事を読んで、私たちが生きる時代のサイバーセキュリティの課題の深刻さに改めて気づかされました。私自身、技術の進歩についていくのが難しい年齢になりましたが、このようなマルウェアの存在とその進化は、私たち一人ひとりがインターネットを使用する際に注意が必要であることを強く示しています。

    特に、HijackLoaderがプロセスホローイングやパイプに書き込むことによるアクティブ化など、さまざまな隠密技術を駆使してセキュリティ対策を回避している点が印象に残りました。これは、私たちが使用しているセキュリティソフトウェアだけに頼るのではなく、日頃からの注意深い行動や定期的なセキュリティチェックがいかに重要かを教えてくれます。

    また、セキュリティ研究者たちが新しい脅威に対応するための技術を開発し、その情報を共有していることは、このような状況下での一筋の光のように思えます。しかし、これらの脅威は常に進化しているため、私たちも学び続け、警戒心を持って行動する必要があると感じます。

    私の孫たちもインターネットを使い始めていますが、彼らにはこのような脅威の存在を知っておいてほしいですし、安全なインターネット

Latest News