DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む

New stealthy DarkWatchman malware hides in the Windows Registry

2021/12/19 BleepingComputer — DarkWatchman という新しいマルウェアが、サイバー犯罪の世界に出現した。このマルウェアは、C# キーロガーとペアになった、高機能なライトウェイトな JavaScript RAT (Remote Access Trojan) である。Prevailion の研究者のテクニカル・レポートによると、この斬新な RAT は、主にロシアの組織を標的とする、ロシア語を話す脅威アクターにより採用されているとのことだ。

DarkWatchman の存在を示す最初の兆候は 11月初旬に現れ、脅威アクターたちは悪意の ZIP ファイルを添付したフィッシング・メールを通じて、このマルウェアの配布を開始している。これらの ZIP 添付ファイルには、アイコンによりテキスト文書に偽装した実行ファイルが含まれている。この実行ファイルは、RAT とキーロガーをインストールする、自己インストール型の WinRAR アーカイブでる。そのファイルを開くと、ユーザーには Unknown Format という囮のポップアップ・メッセージが表示されるが、実際にはマルウェア・ペイロードがバックグラウンドでインストールされる。

ステルス性のあるファイルレス RAT

DarkWatchman は極めて軽量なマルウェアであり、JavaScript の RAT のサイズは僅か 32kb であり、また、コンパイル済みのものも 8.5kb の容量しか使用しない。このマルウェアは、大規模な “living off the land” のバイナリ/スクリプト/ライブラリを利用しており、モジュール間のデータ転送にはステルス性の高い方法を採用している。

DarkWatchman の優れたところは、キーロガーに Windows レジストリのファイルレス・ストレージ・メカニズムを使用していることだ。キーロガーをディスクに保存する代わりに、ユーザーが Windows にログインするたびに DarkWatchman RAT を起動するスケジュール・タスクが作成される。DarkWatchman が起動すると、.NET CSC.exe コマンドを使用してキーロガーをコンパイルする PowerShell スクリプトを実行し、それをメモリ上で起動する。

Prevailion の研究者である Matt Stafford と Sherman Smith は、「このキーロガー は、難読化された C# のソースコードとして配布され、Base64 エンコードされた PowerShell コマンドとして処理され、レジストリに保存される。RAT が起動すると、この PowerShell スクリプトが実行され、キーロガーが (CSC.sys を用いて) コンパイルされ、実行される。このキーロガー自体は、C2 との通信やディスクへの書き込みは行わない。その代わりに、バッファとして使用するレジストリキーにキーログを書き込む。動作中の RAT は、ログに記録されたキーストロークをC2サーバに送信する前に、このバッファを消去する」と、レポートの中で説明している

このように、レジストリは、エンコードされた実行コードを隠す場所としてだけでなく、盗んだデータをC2に流出させるまで一時的に保持する場所としても使用される。C2 の通信とインフラに関し DarkWatchman の脅威アクターは、10項目のシード・リストを持つ DGA (Domain Generation Algorithms) を使用して、毎日最大 500個のドメインを生成している。それにより、優れた運用上の回復力が得られると同時に、通信の監視と分析が非常に困難になる。

DarkWatchman の機能と能力は以下の通りである。

  • EXE ファイルの実行 (出力を返しても返さなくてもよい)
  • DLL ファイルの読み込み
  • コマンドラインでのコマンドの実行
  • WSH コマンドの実行
  • WMI による各種コマンドの実行
  • PowerShell コマンドの実行
  • JavaScript の評価
  • 被害者のマシンから C2 サーバーへのファイルのアップロード
  • RAT およびキーロガーのリモート停止およびアンインストール
  • C2 サーバーのアドレスまたは call-home タイムアウトのリモート更新
  • リモートでの RAT およびキーロガーの更新
  • RAT 起動時に実行する自動起動 JavaScript の設定
  • C2 resiliency のための DGA (Domain Generation Algorithm) の設定
  • 管理者権限所有時の、vssadmin.exe によるシャドーコピーの削除

    DarkWatchman に関する仮説

    Prevailionによる DarkWatchman に関する仮説は、能力の低いアフィリエイトに対して強力なステルス・ツールを提供するランサムウェア・グループにより仕立てられた可能性があるというものだ。このマルウェアは、リモートで追加ペイロードを読み込むことが可能なため、ステルス性の高い第一段階の感染として使用され、後続のランサムウェアを展開していく可能性がある。DarkWatchman は、最初の足場を築いた後に、脅威アクターが管理するドメインに通信できるため、新たなランサムウェアの展開や、ファイル流出の処理などを、ランサムウェアのオペレーターに引き継ぐことも可能となる。このアプローチは、アフィリエイトの役割をネットワーク侵入にまで低下させ、RaaS の運用を効率的なものにする。

高スティルス性のマルウェアが増えています。その隠れ方も先鋭化して、ますます巧妙に鳴ってきています。これまでに、代表的なところで、「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」や、「JavaScript スティルス・マルウェアの新種:Windows PC 侵食する RATDispenser とは?」、「Wslink マルウェア:サーバーとして機能しインメモリでモジュールを実行」などをポストしています。よろしければ、ご参照ください。

%d bloggers like this: