Last Updated on 2024-07-08 07:49 by 門倉 朋宏
Hijack Loaderと呼ばれるマルウェアローダーの新しいバージョンが、より高度なアンチアナリシス技術を採用していることが観察された。この更新は、マルウェアの検出を避け、より長期間潜伏することを目的としている。Zscaler ThreatLabzの研究者Muhammed Irfan V Aによると、Hijack LoaderはWindows Defender Antivirusの除外を追加し、ユーザーアカウント制御(UAC)を回避し、セキュリティソフトウェアによる検出に使用されるインラインAPIフッキングを回避し、プロセスホローイングを利用するモジュールを含むようになった。Hijack Loaderは2023年9月に初めて文書化され、Amadey、Lumma Stealer、Meta Stealer、Racoon Stealer V2、Remcos RAT、Rhadamanthysなど、様々なマルウェアファミリーを配信するために使用されてきた。最新バージョンでは、PNG画像を解読して次段階のペイロードをロードする技術が特徴であり、これは以前にMorphisecがフィンランドに拠点を置くウクライナのエンティティを対象としたキャンペーンで詳細に説明された。ローダーは、組み込まれたPNG画像またはウェブからダウンロードされたPNG画像から第二段階を抽出して起動する第一段階を備えている。2024年3月と4月に検出されたHijack Loaderのアーティファクトには、新しいプロセスを作成し、UACを回避し、PowerShellコマンドを介してWindows Defender Antivirusの除外を追加するための7つの新しいモジュールが含まれている。さらに、Heaven’s Gate技術を使用してユーザーモードフックを回避することで、マルウェアの潜伏性が高まっている。AmadeyがHijackLoaderによって最も一般的に配信されるファミリーである。この開発は、DarkGate、FakeBat、GuLoaderなどの異なるマルウェアローダーファミリーをマルバタイジングやフィッシング攻撃を通じて配布するマルウェアキャンペーンの中で行われている。また、ViperSoftXによって配布され、オープンソースのTesseract光学文字認識(OCR)エンジンを利用して画像ファイルからテキストを抽出する情報窃取型マルウェアであるTesseractStealerの出現に続いている。
【ニュース解説】
最近、Hijack Loaderというマルウェアローダーの新バージョンが、より巧妙なアンチアナリシス技術を採用していることが明らかになりました。この技術の更新は、マルウェアが検出されずに長期間潜伏することを目的としています。具体的には、Windows Defender Antivirusの除外追加、ユーザーアカウント制御(UAC)の回避、セキュリティソフトウェアによる検出を回避するためのインラインAPIフッキングの回避、そしてプロセスホローイングの利用が挙げられます。
このマルウェアローダーは、様々なマルウェアファミリーを配信するために使用されており、その中にはAmadey、Lumma Stealer、Meta Stealer、Racoon Stealer V2、Remcos RAT、Rhadamanthysなどが含まれます。最新バージョンの特徴として、PNG画像を解読して次段階のペイロードをロードする技術があり、これは以前にも特定のキャンペーンで使用されたことがあります。
このローダーは、組み込まれたPNG画像またはウェブからダウンロードされたPNG画像から第二段階を抽出して起動する第一段階を備えています。さらに、新しいプロセスの作成、UACの回避、Windows Defender Antivirusの除外を追加するための新しいモジュールが追加されています。これにより、マルウェアの潜伏性がさらに高まっています。
このような技術の進化は、セキュリティ対策の強化を迫るものです。マルウェアが検出を回避する手法が進化するにつれて、セキュリティソフトウェアもこれに対応するための新しい手法を開発する必要があります。また、個人や企業は、セキュリティ対策を常に最新の状態に保ち、不審な活動に対して警戒を怠らないことが重要です。
ポジティブな側面としては、このようなマルウェアの研究が進むことで、セキュリティコミュニティがより強固な防御策を開発するきっかけになることが期待されます。一方で、潜在的なリスクとしては、マルウェアが長期間検出されずに活動することで、重要な情報が盗まれたり、システムが損害を受ける可能性があります。
規制に与える影響としては、このような高度なマルウェアに対抗するために、より厳格なセキュリティ基準や法規制の導入が求められるかもしれません。将来への影響としては、マルウェアとセキュリティ対策の間の「武器競争」がさらに激化することが予想され、長期的にはセキュリティ技術の進化に大きな影響を与える可能性があります。
from Hijack Loader Malware Employs Process Hollowing, UAC Bypass in Latest Version.
