New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals
2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。
Lobshot は検出を回避するために、必要とされる Windows API の名前が実行時に解決される、動的インポート解決を活用している。このマルウェアは、実行時に Windows Defender のアンチ・エミュレーション・チェックを行い、マルウェア対策ソリューションが検出された場合は、そのプロセスを終了させる。
その一方で、実行を継続する場合には、マシンから採取したデータに基づくカスタム構造を構築し、そのときだけ、ネットワーク接続を行う。また、Lobshot は自身を新しい場所にコピーし、exporer.exe を悪用して新しいプロセスを起動し、元のファイルを消去する。
その後に、Lobshot は永続化のために新しいレジストリキーを登録し、Chrome/Edge/Firefox の 50種類以上のエクステンションをターゲットに、暗号通貨ウォレットに対する情報窃取のルーチンを始動する。
ただし、このマルウェアのコアとなる機能は、hVNC モジュールを中心に展開される。具体的に言うと、隠しデスクトップを生成し、それをマルウェア自身に割り当てることで、一連の機能が実装される。
この機能が起動すると、攻撃者はマシンを完全にリモート・コントロールできるようになり、スクリーンショット撮影/キーボード操作/マウス・クリックなどが可能になる。
攻撃者が発行できるコマンドとして挙げられるのは、新しい explorer.exe プロセスの開始/Run コマンド・ウィンドウの開始/指定されたコマンドによる新しい Windows プロセスの開始/ブラウザの開始/既存の explorer.exe プロセスの終了/サウンド設定の変更/クリップボードへのアクセス/スタートメニューの起動/DPI 認識設定の変更などになる。
また、Lobshot は、運営者が提供する Command and Control (C2) サーバをスワップし、自身を更新することも可能だという。
Elastic によると、2022年から TA505 は Lobshot を攻撃に使用しており、2022年7月以降において、500以上のユニークなマルウェア・サンプルが観測されている。
Evil Corp とも呼ばれ、2014年から活動している TA505 は、Dridex トロイの木馬に加えて、Locky/Bart/BitPaymer/WastedLocker/Cl0p などのランサムウェア運用でも知られる、金銭的な動機に基づく脅威アクターである。
文中の、Windows API の名前が実行時に解決される、動的インポート解決を活用しているという点が気になります。また、その後の侵害チェーンも用意周到で、恐ろしいですね。2023/03/29 の「API セキュリティの調査:この6ヶ月の攻撃件数が 400% も増加している!」にあるように、API を目掛けて脅威が殺到している感じがします。
IoT OT Security News 
You must be logged in to post a comment.