Wslink マルウェア:サーバーとして機能しインメモリでモジュールを実行

New Wslink Malware Loader Runs as a Server and Executes Modules in Memory

2021/10/28 TheHackerNews — サイバー・セキュリティ研究者たちが、中央ヨーロッパ/北米/中東を標的とした、「シンプルかつ驚くべき」悪意の Windows バイナリ・マルウェア・ローダーを公開した。ESET 社が Wslink というコードネームで発表した、このマルウェアはサーバーとして動作し、受信したモジュールをメモリ上で実行するという点で、他のマルウェアとは一線を画している。

最初の侵入経路についての詳細は不明であり、このツールを既知の脅威アクター・グループと結びつけるコードや運用上の重複もない。

このスロバキアのサイバー・セキュリティ企業は、過去2年間で僅かな件数だけが検出されている事実を指摘し、高度に標的化されたサイバー侵入に使用されている可能性を示唆している。

Wslink は、サービスとして動作するように設計されており、特定の IP アドレスから暗号化された Portal Executable (PE) ファイルを受け取り、実行前に復号化してメモリにロードすることが可能だ。そのために、クライアント (被害者) とサーバーは、AES を用いたモジュールの暗号化に必要な、暗号鍵の交換を伴うハンドシェイクを実現する。

ESET の研究者である Vladislav Hrčka は、「興味深いことに、このモジュールは、通信/鍵/ソケットに関するローダーの機能を再利用しているため、新たに外部との接続を開始する必要がない。さらに Wslink は、交換されたデータを保護するために、洗練された暗号プロトコルを備えている」と述べている。

今回の発見は、感染したシステムに Qakbot や Cobalt Strike を展開する、スパム・メール・キャンペーンで配布される SQUIRRELWAFFLE という別のマルウェア・ローダーを、Zscaler と Cisco Talos の研究者が公開したことに端を発している。

足跡をファイルとして残さない、スティルス性を持つマルウェアは怖いですね。また、通信/鍵/ソケットに関するローダーの機能を再利用しているとのことなので、異常なイベント検出にも難しくなるような気がします。この種のマルウェアに関しては、スティルスで検索してもらえると、いくつか出てきますので、よろしければ ご参照ください。

%d bloggers like this: