GuLoader Malware Using Malicious NSIS Executables to Target E-Commerce Industry
2023/02/06 TheHackerNews — 先月末に、韓国と米国の e-Commerce 業界が、現在進行中の GuLoader マルウェア・キャンペーンの被害を受けていたことを、サイバーセキュリティ企業の Trellix が明らかにした。このマルスパム活動の特徴は、その侵入の手口を、マルウェアを混入した Microsoft Word 文書から、マルウェアをロードするための NSIS 実行ファイルへと移行している点だ。このキャンペーンでは、ドイツ/サウジアラビア/台湾/日本などの国々も対象となっている。
NSIS (Nullsoft Scriptable Install System) は、Windows OS のインストーラの開発に使用される、スクリプト駆動型のオープンソース・システムだ。
2021年の攻撃チェーンでは、GuLoader をロードする実行ファイルのドロップに、マクロを組み込んだ Word 文書を含む ZIP アーカイブが使用されていた。しかし、今回のフィッシングでは、ZIP/ISO イメージに埋め込まれた NSIS ファイルが用いられている。
Trellix のリサーチャーである Nico Paulo Yturriaga は、「脅威アクターは、アーカイブや画像に悪意の実行ファイルを埋め込むことで、検知を回避できる」と述べている。
GuLoader の配信に使用される NSIS スクリプトは、2022年を通じての、シェル・コードを隠すための難読化/暗号化層を追加し、より洗練されたと言われている。
インターネットからダウンロードした Office ファイルに含まれるマクロを、Microsoft がブロックしたことを受けて、別のマルウェアの配布方法が急増したという、脅威を取り巻く環境の大きな変化を象徴している。
Yturriaga は、「GuLoader シェル・コードを、NSIS 実行ファイルへ移行しことで、検知の回避/サンドボックス解析の阻止/リバース・エンジニアリングの妨害などが進化している、それは、脅威アクターの創造性と持続性を示す顕著な例だ」と指摘している。
マルウェアによる検出回避策ですが、NSIS (Nullsoft Scriptable Install System) の悪用という、新しい手口が出現したようです。以下の記事は、最近のマルウェアが用いている、検出回避に関連するものです。よろしければ、ご参照ください。
2023/01/30:Titan Stealer は Golang ベース
2023/01/27:USB デバイスに PlugX の高スティルス亜種
2023/01/25:PY#RATION は WebSocket C2 通信
2023/01/24:DragonSpark の Golang ソースの実行時解釈
IoT OT Security News 
You must be logged in to post a comment.