PlugX Trojan disguised as a legitimate Windows open-source tool in recent attacks
2023/02/27 SecurityAffairs — オープンソースの Windows デバッガ・ツール x32dbg を装う、PlugX RAT (Remote Access Trojan) の配布を目的とした新たな攻撃を、Trend Micro が発見した。x32dbg は、カーネル・モードやユーザー・モードのコード/クラッシュ・ダンプ/CPU レジスタなどの解析を可能にするツールである。
研究者たちが分析した x32dbg.exe には、有効なデジタル署名があるため、いくつかのセキュリティツールでは安全なものと認識されていた。この x32dbg.exe を悪用する脅威アクターたちは、検知の回避/持続性の維持/権限昇格/ファイル実行制限のバイパスを可能にするとされる。
この RAT は、x32dbg デバッグ ツール (x32dbg.exe) などのデジタル署名されたソフトウェア・アプリケーションが実行されるときに、DLL サイドローディングを使用して、独自のペイロードである悪意の DLL をロードする。さらに、システムが再起動されても、攻撃者によるアクセスを維持するために、レジストリ エントリを変更し、スケジュールされたタスクを作成することで、持続性を達成している。
専門家たちの報告によると、x32dbg.exe はバックドアをドロップするために使用され、UDP シェル クライアントはシステム情報とホスト情報を収集し、また、C2 コマンドに対して待機し続けるスレッドを作成し、ハードコーディングされたキー “Happiness is a way station between too much and too little” を用いて C&C 通信を復号化するとのことだ。
Trend Micro のレポートは、「セキュリティ技術は進歩しているが、脅威アクターは、この手法を使い続けている。それは、正規のアプリケーションに対する信頼を悪用できるからである。 この手法は、システムやアプリケーションが DLL を信頼し、ロードし続ける限り、攻撃者によるマルウェア配信と機密情報へのクセスのための有効な手段であり続けるだろう」と結論付け。IoC (Indicators of Compromise) も提供している。
つい先日の 2月23日にポストした、S1deload Stealer という情報スティーラーに関する記事でも、DLL サイドローディングが用いられていると指摘されていました。今日の記事 Trend Micro のレポートがベースになっているようですが、そのレポートは、上手く探せませんでした。なお、DLL サイドローディングについては、上記の記事の後書きに、簡単に説明しています。よろしければ、ご参照ください。
2023/01/27:USB デバイスに PlugX の高スティルス亜種
2021/07/28:中国のハッカー:MS Exchange に PlugX マルウェア
IoT OT Security News 
You must be logged in to post a comment.