New Zloader Banking Malware Campaign Exploiting Microsoft Signature Verification
2022/01/04 TheHackerNews — 現在進行中の ZLoader マルウェア・キャンペーンは、リモート監視ツールおよび Microsoft のデジタル署名検証に関する9年前の欠陥を悪用することで、ユーザーの認証情報や機密情報を吸い上げていることが判明している。イスラエルのサイバー・セキュリティ企業である Golan Cohen Research は、この巧妙な感染経路を 2021年11月から追跡してきましたが、過去の攻撃との類似点を指摘し、Malsmoke と呼ばれる脅威アクター・グループの犯行であるとしている。
Check Point の Golan Cohen は The Hacker News と共有したレポートの中で、「感染チェーンに組み込まれている技術には、ターゲット・マシンへの初期アクセスを得るために、正規のリモート管理ソフトウェア (RMM) を使用する機能が含まれている。このマルウェアは、Microsoft のデジタル署名検証方法を悪用して、署名済みのシステム DLL にペイロードを注入し、システムの防御機能をさらに回避している」と述べている。
このキャンペーンは、2022年1月2日の時点において、111カ国で 2,170人の被害者を出していると言われており、被害者の多くは米国/カナダ/インド/インドネシア/オーストラリアに位置している。また、発見や分析を逃れるために、難読化などの検出回避方法を何重にも施している点も特徴である。
攻撃の流れとしては、まず正規のエンタープライズ遠隔監視ソフトウェア Atera をインストールし、任意のファイルのアップロード/ダウンロードを行い、悪意のスクリプトを実行する。しかし、インストーラー・ファイルの正確な配布方法は、現時点では不明である。
1つ目のファイルは、Windows Defender に除外項目を追加するために使用され、2つ目のファイルは、appContast.dll という DLL ファイルを含む新たなペイロードの取得し、ZLoader バイナリ 9092.dll を実行するために使用される。
ここで注目すべき点は、appContast.dll に Microsoft の有効な署名があるだけではなく、元々は AppResolver.dll であったこのファイルに対して、最終段階のマルウェアをロードするための悪意のスクリプトが注入されていることだ。
この処理は、CVE-2013-3900 として追跡されている既知の問題 (WinVerifyTrust の署名検証の脆弱性) を利用することで可能にななる。この問題は、ファイルの署名の有効性を維持したまま悪意のコード・スニペットを付加することで、特別に細工されたポータブル実行ファイルを介して、リモートの攻撃者に任意のコード実行を許すものだ。
このバグに関しては、2013年に Microsoft が対処していたが、2014年7月に方針が修正された。具体的には、Microsoft Windows において、厳格な検証動作をデフォルトの機能として強制することが廃止され、オプトイン機能として利用できるようになった。Golan Cohen は、「言い換えれば、この修正機能はデフォルトでは無効になっており、マルウェア作者による署名済みファイルの修正が可能になっている」と述べている。
Check Point のマルウェア研究者である Kobi Eisenkraft は、「ZLoader キャンペーンの作者は防御の回避に多大な努力を払っており、今でも毎週のように手法を更新しているようだ」と述べている。したがって、未知のダウンロード・サイトなどからのソフトウェアのインストールを控え、実行ファイルに対して Microsoft の厳格な Windows Authenticode 署名検証を適用するようユーザーに呼びかけている。
Zloader に関しては、2021年7月の「Microsoft Office のマクロ警告を OFF にする新たなトリックが発見された」と、9月の「ZLoader マルウェア亜種:TeamViewer フェイク広告から忍び込む」という記事がポストされています。文中でも指摘されているように、この Zloader の巧妙な検知回避には注意が必要ですね。
IoT OT Security News 