ZLoader Malware Returns With DNS Tunneling to Stealthily Mask C2 Comms
2024/12/11 TheHackerNews — ZLoader マルウェアの新バージョンが、Zscaler ThreatLabz の研究者たちにより発見された。2024年1月に再登場した ZLoader だが、その後もツールを改良し続け、C2 (command-and-control) 通信に DNS トンネルを使用する方向へと進化している。
12月10日の Zscaler ThreatLabz レポートには、「Zloader 2.9.4.0 には、大幅な改善が加えられており、ランサムウェア攻撃で有効に機能すると思われる。具体的には、C2 通信用のカスタム DNS トンネル・プロトコルや、10 個以上のコマンドをサポートするインタラクティブ・シェルなどが挙げられる。それらの新機能により、検知/緩和に対する Zloader の耐性は、さらに強化されている」と記されている。
ZLoader (別名:Terdot/DELoader/Silent Night) は、マルウェア・ローダーの一種であるため、 次段階のペイロードを展開するための機能を備えている。2022年に ZLoader のインフラは破壊されたが、2023年9月の時点では、このマルウェアを配布するキャンペーンが再び観測されている。
このマルウェアに搭載されるのは、解析を困難にするための各種テクニックであるが、それに加えて、DGA (domain generation algorithm) の利用によりオリジナルでの感染が維持され、異なるホスト上では実行されないことが判明している。なお、このテクニックは、Zloader のベースである、Zeus バンキング・トロイの木馬でも採用されている。
ここ数か月の間に、ZLoader 配布と Black Basta ランサムウェア攻撃との間に、関連性があるという説が高まってきている。脅威アクターたちは、被害者に対するテクニカル・サポートを装うことで、リモート・デスクトップ接続を確立し、このマルウェアを展開している。
Zscaler ThreatLabz によると、ZLoader 攻撃チェーンに存在する、新たなコンポーネントが発見されたとのことだ。このコンポーネントは、最初に GhostSocks と呼ばれるペイロードを展開し、その後に ZLoader をドロップする。
同社は、「Zloader のアンチ解析技術である、環境チェックや API インポート解決アルゴリズムは、継続してアップデートされており、マルウェア・サンドボックスや静的署名の回避を実現している」と述べている。
さらに、最新バージョンの Zloader には、インタラクティブなシェルが、新機能として導入されたている。このシェルを操作するオペレーターは、任意のバイナリ/DLL/シェルコードなどを実行し、データを外部に送信した後に、プロセスを終了させている。
Zloader の C2 通信では、主要チャネルとして HTTPS/ POST リクエストが使用されてきたが、DNS トンネリング機能も追加されている。それにより、暗号化された TLS ネットワーク・トラフィックが、DNS パケットを介して展開されていく。
Zscaler ThreatLabz は、「Zloader の配布方法と、DNS トンネリングという新しい通信チャネルが示唆するのは、このグループが検知回避に注力している状況である。この脅威グループは、ランサムウェアのイニシャル・アクセス仲介者として、より効果的に機能するために、新しい機能を追加し続けている」と述べている。
DNS トンネリングを用いる C2 通信ですが、2024/10/07 には「DNS Tunneling キャンペーン:Palo Alto Unit42 が発見した検出回避と攻撃の方式とは?」という記事をポストしています。脅威アクターが用いる C2通信の手法は、検出や防御を回避するために、多様化の一途を辿っています。よろしければ、C2 Server で検索と、ZLoader で検索で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.