MalVirt Loaders Exploit .NET Virtualization to Deliver Malvertising Attacks
2023/02/03 InfoSecurity — マルバタイジング攻撃を仕掛ける脅威アクターたちが、MalVirt と呼ばれる仮想化された .NET マルウェア・ローダーを配布していることが確認された。2023年2月2日に SentinelOne が発表したアドバイザリによると、この新しいローダーは、難読化した仮想化技術を利用して検知を回避しているという。同社は、「このローダーは .NET で実装され、その実装と実行を難読化するために、.NET アプリケーションの仮想化プロテクター KoiVM をベースにした技術を使用している。ハッキング・ツールやクラックでは一般的なものだが、サイバー犯罪の脅威アクター利用する難読化手法として、KoiVM の仮想化の使用は珍しい」と述べている。
また、同社の Senior Threat Researcher である Aleksandar Milenkoski は、MalVirt ローダーが Formbook ファミリーのマルウェアを配布していると説明している。
SentinelOne のアドバイザリには、「MalVirt ローダーが配布するペイロードの中に、現在進行中のキャンペーンのものだと思われる、Formbook ファミリーの インフォ・スティーラー・マルウェアを発見した」と記されている。
Formbook (アップデート版である XLoader) はインフォ・スティーラー・マルウェアであり、キーロギング/スクリーンショット窃取/Web 認証情報などの窃取/追加のマルウェア・ツール展開などの、いくつかの機能を備えている。
Milenkoski は、「たとえば、XLoader の特徴の1つとして、C2 トラフィックを複雑に偽装するものもある。このマルウェアは、実際の C2 トラフィックを隠して、ネットワークでの検出を回避するために、Azure/Tucows/Choopa/Namecheap といった各種の正規ホスティング・プロバイダにあるランダムなデコイ C2 サーバへと、ビーコンを送信していることが確認されている」と述べている。
また、SentinelOne のセキュリティ研究者たちは、過去において Formbook と XLoader は、マクロを有効にした Office 文書によるマルスパムを介して配布されていた。しかし、新しいMalVirt キャンペーンは、マルバタイジングによりマルウェアが配布される方向への移行を示唆すると述べている。
Milenkoski は、「インターネット上の文書に含まれる Office マクロを、Microsoft がデフォルトでブロックしたことへの対応として、脅威アクターたちは別のマルウェア配布方法 (最近ではマルバタイジング) に目を向けている。広告を悪用してマルウェアを展開する脅威アクターは膨大な数に上るため、今後も、この手法でのマルウェア配布が継続すると予想される」と説明している。
その他の、仮想化に関するニュースとして、先日の Sysdig によるレポートが、すべてのコンテナ・イメージの 87% において、深刻な脆弱性が含まれていると指摘している。
このところ、.NET と Visual Studio に関連するトピックが増えています。Office ドキュメントに埋め込んだ悪意の VBA マクロを、インターネットからダウンロードさせるという手口が阻止され、侵入ベクターが多様化してきています。よろしければ、以下の関連記事も、ご参照ください。
2023/02/03:Visual Studio アドインを悪用するマルウェア
2023/01/16:Java と .NET:大量の脆弱性に対峙する理由を解明
2023/01/06:Visual Studio VSCode Marketplace の侵害は容易
IoT OT Security News 
You must be logged in to post a comment.