Hackers Using Microsoft Build Engine to Deliver Malware Filelessly
2021/05/14 TheHackerNews — Microsoft Build Engine (MSBuild) を悪用して、リモートアクセス・トロイの木馬や、パスワードを盗み出すためのマルウェアを、標的となる Windows システム上にファイルレスで展開するという脅威が存在する。
サイバーセキュリティ企業である Anomali の研究者によると、このキャンペーンは先月から活性化しているようだ。この脅威では、悪意のビルド・ファイル内に、バックドアを展開するコード化された実行ファイルやシェルコードが埋め込まれており、被害者のマシンは制御を奪われ、機密情報を盗み出されてしまうようだ。
MSBuild とは、Microsoft が開発した .NET および Visual Studio 用のオープンソースのビルドツールであり、ソースコードのコンパイルやパッケージングに加えて、アプリケーションのテストやデプロイを行うことができる。MSBuild を悪用すれば、マシンを侵害するための悪意のファイルは不要となり、正規のアプリケーションを踏み台にして攻撃コードをメモリにロードできるため、レーダーによる探知や検出をくぐり抜けてしまう。したがって、高度なステルス性を持つ攻撃が生じ、また、システム上に感染の痕跡が残らないとされる。
この記事では、Anomali が分析したサンプルにも触れています。その大半は、Remcos RAT を配信していると判明していますが、Quasar RAT や RedLine Stealer を配信しているものもあるようです。Remcos (Remote Control and Surveillance software) は、インストールされるとリモートの攻撃者にフルアクセスを許可します。具体的な機能は、キーストロークのキャプチャから、任意のコマンドの実行や、マイクやカメラの録画まで至るとのことです。
Quasar は、キーロギングやパスワードの盗用などが可能な、オープンソースの .NET-based RAT です。Redline Stealer は、その名が示すように、ブラウザ/VPN/メッセージング・クライアントなどから認証情報を取得するほか、暗号通貨アプリに関連するパスワードやウォレットを盗み出す、便利なマルウェアとのことです。これだと、VirusTotal で調べるにしても、ウィルス対策ソフトで検知するにしても、とても困りますね。
IoT OT Security News 