CoffeeLoader Malware Loader Linked to SmokeLoader Operations
2025/03/27 InfoSecurity — 新たに特定された CoffeeLoader というマルウェア・ローダーだが、エンドポイント・セキュリティ対策を回避しながら、第2段階のペイロードを展開することが確認されている。Zscaler ThreatLabz の研究者たちは、この 2024年9月に登場したマルウェアを追跡しており、SmokeLoader と組み合わせも確認しているという。
従来からのマルウェア・ローダーとは異なり、CoffeeLoader は検出を回避するために複数の手法を取り入れている。ASUS の Armoury Crate ユーティリティを偽装する、GPU ベースのパッカーである Armoury を採用しているため、仮想環境での分析は困難になっている。
このローダーの、コール・スタック・スプーフィング・メカニズムは、関数呼び出しの発信元をマスクしている。それは、BokuLoader を彷彿とさせる戦略である。さらに、スリープ難読化を利用して、アイドル時のメモリ状態を暗号化し、セキュリティ・スキャンを回避するという。
インストールされた CoffeeLoader のドロッパーは、対象ユーザーの権限に応じて特定のディレクトリにペイロードをコピーする。管理者の権限が利用可能な場合には、このマルウェアは Windows タスク・スケジューラを悪用して永続性を確立する。
最近のバージョンでは、作成されたタスクにより、10 分ごとの実行がスケジュールされる。30 分ごとの実行/ログオン時の実行だった、以前のバージョンと比べて大きく進化している。
その Stager コンポーネントは、一時停止中のシステム・プロセスにメイン・モジュールを挿入し、スレッド実行を変更することで、検出を回避しながらマルウェアを実行する。稀にしか監視されないマルチタスク・メカニズムである、Windows fibers を悪用することで、このメイン・モジュールは難読化を強化している。
CoffeeLoader は、iPhone を模倣するハードコードされたユーザー・エージェントを介して、HTTPS 経由で Command and Control (C2) サーバと通信する。そこでは、傍受を防ぐための、証明書のピン留めが実装されている。そして、登録とタスク取得という、2つの主要なリクエスト・メッセージ・タイプをサポートしている。
レジストレーション時に、このマルウェアはタスクを要求する前に、ボット ID を受け取る。このタスクには、シェルコードの挿入/実行ファイルの展開/スリープ難読化設定の変更などが、取り込まれる場合があるという。
CoffeeLoader が示すのは、従来からの回避戦術/ GPU ベースの暗号化/高度な永続化メカニズムを組み合わせた、マルウェア設計の大きな進化である。
Zscaler は、「このローダーは、AV/EDR/Malware Sandbox からの検出回避を試行する脅威グループにとって、有益かつ高度な機能を提供している。SmokeLoader と CoffeeLoader の間には顕著な類似点があり、前者は後者を配布するが、これらの2つのマルウェア・ファミリの正確な関係は、現時点では不明である」と述べている。
CoffeeLoader の手法を見ていると、攻撃者たちが検出を逃れるために、巧妙かつ高度に技術を進化させている状況が伝わってきます。なお、SmokeLoader に関しては、このブログでも何度か登場しています。よろしければ、以下の関連記事も、カテゴリ Malware と併せてご利用下さい。
2025/02/04:7-Zip の脆弱性が SmokeLoader の展開に悪用
2022/11/08:Laplas Clipper:SmokeLoader キャンペーンで拡散
IoT OT Security News 
You must be logged in to post a comment.