Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

2020年11月に、初めて文書化された Jupyter (Solarmarker) は、ロシアを起源とする可能性が高く、主に Chromium/Firefox/Chrome を標的とし、吸い上げた詳細な情報をリモートサーバーにアップロードし、さらにペイロードをダウンロードする機能などの、完全なバックドアを実現する機能が追加されている。Morphisec が収集したフォレンジック証拠によると、2020年5月から Jupyter の複数バージョンが出現し始めている。

2021年8月に Cisco Talos は、「今回の侵入はクレデンシャルと残留情報の窃取に主眼を置いた、かなり洗練されたアクターによるものだ」と述べている。また、今年2月初めには CrowdStrike が、「このマルウェアは多段階の難読化された PowerShell ローダーを搭載しており、.NET でコンパイルされたバックドアの実行につながる」と説明していた。

これまでの攻撃では、Docx2Rtf や Expert PDF といった、有名なソフトウェアの正規バイナリが組み込まれていたが、今回の配信チェーンでは、Nitro Pro という別の PDF アプリケーションが使用されている。この攻撃は、マルウェア対策エンジンを回避する 100MB を超える MSI インストーラー・ペイロードの展開から始まり、Advanced Installer と呼ばれるサードパーティのアプリ・パッケージング・ウィザードを用いて難読化されている。

この MSI ペイロードを実行すると、Nitro Pro 13 の正規バイナリに埋め込まれたPowerShell ローダーが実行される。このバイナリのうち2つのバージョンでは、ポーランドの実在する企業の有効な証明書で署名されていることが確認されており、証明書の偽装や盗用の可能性が示唆されている。このローダーは、最終的にインメモリーのJupyter .NET モジュールをデコードして実行する。

Morphisec の研究者である Nadav Lorber は、「2020年に初めて確認した時と比べて、Jupyter infostealer/backdoor が進化していることは、この脅威アクターが常に革新的であることを証明している。この攻撃が、VirusTotal での検出数が少なく、また、隠れ続けていることは、脅威アクターが検出ベースのソリューションを回避する能力が高いことを示している」と述べている。

検出が困難、また、不可能なマルウェアは、ほんと困りものですね。アンチウィルスのソリューションも、ファイルを静的にスキャンするだけでは足りないのでしょう。異常なイベントやアクションを検知するような方式が、早く一般的なものになってほしいです。以前に「ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ」をポストしましたが、なかなか面白い記事です。よろしければ ど〜ぞ。

%d bloggers like this: