Last Updated on 2024-06-07 18:53 by admin
サイバーセキュリティ研究者は、ハッカーが正規のパッキングソフトウェアを悪用して、検出を回避しながらマルウェアを拡散していることを明らかにした。特にBoxedAppのような商用パッキングソフトウェアが、リモートアクセストロイの木馬や情報窃盗ソフトウェアの配布に使用されている。これらのマルウェアは主に金融機関や政府関連の業界を標的にしている。BoxedAppを使用してパックされたサンプルの数は、2023年5月頃にGoogleが所有するVirusTotalマルウェアスキャンプラットフォームにおいて急増した。この活動は主にトルコ、アメリカ、ドイツ、フランス、ロシアからのものであった。
BoxedAppを使用することで、攻撃者はエンドポイントセキュリティソフトウェアによる検出を回避し、マルウェアの分析を困難にすることができる。BoxedApp SDKを使用することで、攻撃者は高度な機能を開発することなく利用でき、静的検出を避けるための独自のパッカーを作成することが可能である。
また、NSIXloaderという不正なパッカーも使用されており、これはNullsoft Scriptable Install System (NSIS)を利用して様々なペイロードを配布している。NSISを使用する利点は、正規のインストーラーと見分けがつかないサンプルを作成できること、圧縮と解凍のアルゴリズムを実装する必要がないこと、スクリプトの機能を利用して悪意のある機能を転送できることである。
さらに、QiAnXin XLabチームは、Linuxシステムを標的とする複数の脅威アクターによって使用されているKiteshieldというパッカーについて詳細を公開した。Kiteshieldは、x86-64 ELFバイナリ用のパッカー/プロテクターであり、複数の暗号化レイヤーでELFバイナリをラップし、ローダーコードを注入して完全にユーザースペースでパックされたバイナリを復号化、マッピング、実行する。
【ニュース解説】
サイバーセキュリティの世界では、ハッカーが正規のソフトウェアを悪用してマルウェアを拡散する手法が新たな脅威として浮上しています。特に、BoxedAppのような商用パッキングソフトウェアが、リモートアクセストロイの木馬や情報窃盗ソフトウェアの配布に利用されていることが明らかになりました。これらのマルウェアは金融機関や政府関連の業界を主な標的としています。
パッキングソフトウェアは、ソフトウェアやデータを圧縮し、一つの実行可能ファイルにまとめるツールです。この技術は本来、ソフトウェアの配布を容易にするために開発されましたが、ハッカーはこれを悪用してマルウェアの検出を回避し、分析を困難にするために使用しています。BoxedAppを使用することで、攻撃者はエンドポイントセキュリティソフトウェアによる検出を回避し、高度な機能を利用して独自のパッカーを作成することが可能になります。
さらに、NSIXloaderという不正なパッカーも使用されており、Nullsoft Scriptable Install System (NSIS)を利用して様々なペイロードを配布しています。NSISを使用する利点は、正規のインストーラーと見分けがつかないサンプルを作成できること、圧縮と解凍のアルゴリズムを実装する必要がないこと、スクリプトの機能を利用して悪意のある機能を転送できることです。
また、Linuxシステムを標的とする複数の脅威アクターによって使用されているKiteshieldというパッカーについても詳細が公開されました。Kiteshieldは、x86-64 ELFバイナリ用のパッカー/プロテクターであり、複数の暗号化レイヤーでELFバイナリをラップし、ローダーコードを注入して完全にユーザースペースでパックされたバイナリを復号化、マッピング、実行します。
このようなパッキング技術の悪用は、サイバーセキュリティの専門家にとって新たな課題を提示しています。マルウェアの検出と分析をより困難にし、攻撃者が検出を回避するための新たな手段を提供しているためです。この問題に対処するためには、セキュリティソフトウェアの開発者がパッキング技術の悪用を検出できるような新しい手法を開発する必要があります。また、企業や組織は、エンドポイントの保護を強化し、定期的なセキュリティチェックを行うことで、これらの脅威から自身を守ることが重要です。
from Hackers Exploit Legitimate Packer Software to Spread Malware Undetected.
