IceXLoader マルウェアの感染が増大:Windows Defender を巧みに回避

Phishing drops IceXLoader malware on thousands of home, corporate devices

2022/11/10 BleepingComputer — 現在進行中のフィッシング・キャンペーンにより、数千のホーム/コーポレート・ユーザーが、マルウェア IceXLoader の新バージョンに感染していることが判明している。 この夏に、マルウェア・ローダー IceXLoader の野放し状態での悪用が発見されたが、その後にツールの機能が強化され、多段階の配信チェーンを導入されるという、バージョン 3.3.3 がリリースされている。2022年6月に Fortinet が、この Nim ベースのマルウェアを発見したときのバージョンは 3.0 であり、また、ローダーとしての重要な機能が欠けており、開発中というような印象だったという。

10月8日に新たな情報を公開した Minerva Labs は、IceXLoader の最新バージョンについて、このプロジェクトのベータ開発段階からの脱却を意味すると警告している。サイバー犯罪のアンダーグラウンドで広まっていくマルウェア・ローダーにとって、この種の進化は重要であり、その感染が急上昇する可能性が生じる。

現在の配信チェーン

IceXLoader の感染は、第一段階のエキストラクタ (extractor:抽出器) を取り込んだZIP ファイルが、フィッシング・メールで届くところから始まる。このエキストラクタは、“C:\Users\\AppData\Local\Temp” の下に、新しい隠しフォルダ (.tmp) を作成し、次の段階の実行ファイルである “STOREM~2.exe” をドロップする。その後に、オペレーターが選択した展開設定に従い、感染させたシステムが再起動する際に、この tempフォルダを削除するための新しいレジストリキーが追加される。

そしてドロップされたダウンローダー “STOREM~2.exe” は、ハードコードされた URL から PNG ファイルを取得し、それを IceXLoader ペイロードである難読化されたDLLファイルに変換する。このドロッパーはペイロードを復号化した後に、エミュレータ内で実行されていないことを確認するためのチェックを行い、マルウェアローダーを実行する前に 35秒間ほど待機し、サンドボックスを回避する。

最終的に IceXLoader は、process hollowing を用いて STOREM~2.exe プロセスに注入される。

The complete infection chain
The complete IceXLoader infection chain (Minerva Labs)

新しい IceXLoader

最初の起動時に、IceXLoader バージョン 3.3.3 は、オペレータのニックネームが付けられた2つのディレクトリに自身をコピーし、以下のホストに関する情報を収集し、C2 へと流出させる。

  • IP address
  • UUID
  • Username and machine name
  • Windows OS version
  • Installed security products
  • Presence of .NET Framework v2.0 and/or v4.0
  • Hardware information
  • Timestamp

また、再起動時の持続性を確保するため、以下のレジストリキーを新規に作成する。
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”

そして、検出を回避するために、AMSI.DLL にインメモリ・パッチを適用する方法を用い、Windows Defender などのセキュリティ製品が使用する、Microsoft Windows Antimalware Scan Interface をバイパスする。

Minerva Labs は、「このローダーは、Windows Defender のリアルタイム・スキャンを無効にする.batファイルも作成/実行し、IceXLoader がコピーされたディレクトリがスキャンされないようにするために、Windows Defender に除外を追加する」と述べている。

PowerShell commands to disable AV and add exemptions
PowerShell commands to disable AV and add exemptions (Minerva Labs)

このローダーに実装されているコマンドは、以下の通りである。

  • 実行の停止
  • 収集したシステム情報の C2 への流出
  • 指定メッセージのダイアログボックス表示
  • IceXLoader の再起動
  • GET リクエストでファイルをダウンロードして “cmd/ C” でファイルを開く
  • GET リクエストで実行ファイルをダウンロードしてメモリから実行
  • .NET アセンブリをロードして実行
  • C2 サーバのビーコン間隔を変更
  • IceXLoader の更新
  • すべてのコピーをディスクから削除して実行を停止

Minerva の報告によると、盗み出された情報が保持される SQLite データベースが、C2 アドレスによりアクセス可能であるため、このキャンペーンの背後にいる脅威アクターは、盗み出したデータの保護には関心がないとのことだ。

公開されたデータベースには、数千人の被害の記録が含まれており、家庭用/企業用 PCへの感染が混在しているとのことだ。セキュリティ研究者たちは、被害を受けた企業に対して、この暴露の内容を通知したとのことだ。しかし、このデータベースは、毎日のように新しい項目で更新されているという。

Windows 防御の要である Defender を回避する、強力なマルウェアの登場です。気になるのは、文中の「ドロップされたダウンローダー “STOREM~2.exe” は、ハードコードされた URL から PNG ファイルを取得し、それを IceXLoader ペイロードである難読化されたDLLファイルに変換する」という記述です。他には何も書かれていませんが、これもステガノグラフィを用いるマルウェアなのだと推測できます。

%d bloggers like this: