ファイルレスKrakenマルウェアがWindowsエラー報告サービスを悪用している

セキュリティ研究者は、MicrosoftWindowsエラー報告を悪用する新しいファイルレス攻撃を発見しました (WER).

いわゆるKraken攻撃の背後にあるハッキンググループはまだ特定されていません.

セキュリティ研究者のHosseinJaziとJérômeSeguraは、攻撃はWERベースの実行可能ファイルに隠れているマルウェアに依存していると述べています. このように、それは疑惑を作成することなく見過ごされたままです.

クラーケンファイルレス攻撃の説明

攻撃は、.ZIPファイル内のフィッシングドキュメントを誘惑することによって開始されます, 「Compensationmanual.doc」というタイトル。多くのフィッシング攻撃に見られるように, 文書には、従業員の報酬の権利に関する情報が含まれていると主張しています. でも, 組織の従業員がそれを開いた場合, 悪意のあるマクロをトリガーします. マクロを有効にすることは、フィッシングベースの悪意のあるキャンペーンで最も古いトリックの1つです。.

この場合, マクロは、シェルコードを介してファイルレス攻撃を開始するCactusTorchVBAモジュールのカスタムバージョンを利用します. 次に、CactusTorchは.Netでコンパイルされたバイナリをダウンロードします, 吹き替えKraken.dll, これはメモリにロードされ、VBScriptを介して実行されます. ペイロードは、WerFault.exeファイルに埋め込まれたシェルコードを挿入します, WERMicrosoftサービスに接続されています. シェルコードは、ハードコードされたドメインに対してもHTTPリクエストを送信します, おそらく追加のマルウェアをダウンロードするために行われます.

「「Windowsエラー報告 (WER) は、Windowsが検出できるハードウェアおよびソフトウェアの問題に関する情報を収集するように設計された柔軟なイベントベースのフィードバックインフラストラクチャです。, 情報をMicrosoftに報告する, 利用可能なソリューションをユーザーに提供します,」 マイクロソフトは言う.

いつもの, WindowsユーザーがWerFault.exeの実行を確認したとき, エラーが発生したと思われる場合があります. でも, この特定の場合, このファイルの実行は、標的型マルウェア攻撃を意味します. 同じ手法がNetWireRATとCerberランサムウェアによって展開されていることは注目に値します。.

このファイルレスキャンペーンで見られるその他の悪意のある活動には、 コードの難読化, 複数のスレッドで動作するDLL, サンドボックスおよびデバッガー環境のプロービング, レジストリをスキャンして、使用可能なVMWare仮想マシンまたはOracleVirtualBoxを探します. また, 分析アクティビティが見つかった場合, それらは終了します.

未知の攻撃者がKrakenファイルレス攻撃の背後にいます

マルウェアのハードコードされたターゲットURLが、研究者が分析を行っている間に削除されたため, 現在、攻撃を特定の脅威グループに帰することは不可能です. でも, クラーケン攻撃のいくつかの要素はOceanLotusを彷彿とさせます, ベトナムのAPTグループ.

OceanLotusマルウェア iは、標的型攻撃キャンペーンで特定のネットワークに感染することに焦点を当ててきました. その背後にある犯罪集団は、アジアの企業と政府機関の両方に対してキャンペーンを実施しています: ラオス, カンボジア, ベトナム, とフィリピン. これらの特定の攻撃について知られていることは、それらが非常に経験豊富なハッキンググループによって調整されているということです.

なぜファイルレスマルウェアなのか?

背後にある考え方 ファイルレスマルウェア シンプルです: ツールがデバイスにすでに存在する場合, PowerShell.exeなど, 攻撃者の目的を達成するため, 次に、マルウェアとしてフラグが立てられる可能性のあるカスタムツールを削除する理由? サイバー犯罪者がプロセスを引き継ぐことができる場合, そのメモリ空間でコードを実行する, 次に、そのコードを使用して、すでにデバイス上にあるツールを呼び出します, 攻撃はステルスになり、検出がほぼ不可能になります.