フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
NWHStealerとして知られるWindowsの情報窃取マルウェアが、偽のVPNダウンロードページ、バンドルされたハードウェアユーティリティ、マイニングツール、改ざんされたゲームMODを介して広まっています。このマルウェアは通常、自己注入、DLLハイジャック、プロセスホローイングに依存する悪意のあるZIPアーカイブで配信され、RegAsmがターゲットプロセスとして頻繁に使用されます。実行されると、NWHStealerはブラウザーの認証情報を盗み、暗号通貨ウォレットのデータを収集し、暗号化されたコマンドアンドコントロールチャネルを通じて盗まれた情報を流出させます。
調査
研究者は主に2つの配信手法を特定しました。一つは、無料のウェブホスティングプラットフォームにホストされた悪意のあるZIPアーカイブが自己注入を通じてスティーラーを起動する方法です。もう一つは、偽のProton VPNサイトがDLLハイジャックを悪用したDLLベースのローダーを配信する方法です。このローダーは埋め込まれたリソースを復号化し、RegAsmプロセスをホローイングし、最終的にはメモリ内でNWHStealerを実行するか、ブラウザ関連プロセスに直接注入します。
緩和策
利用者は、非信頼性のあるソースからソフトウェアをダウンロードすることを避けるべきです。これには非公式のGitHubリリースや疑わしいSourceForgeページ、YouTubeの説明に共有されたリンクが含まれます。組織は、実行前にデジタル署名を確認し、既知の悪意のあるURLをブロックするエンドポイントセキュリティツールを使用し、ユーザープロファイルパス内に作成された疑わしいスケジュールタスクや隠しディレクトリに注意を払うべきです。
対応
防御者は、既知のNWHStealerのDLL名、RegAsmプロセス注入活動、隠しフォルダを LOCALAPPDATA以下で探し、バイナリを合法的なシステムファイルに偽装して起動するスケジュールされたタスクを探すべきです。特定されたコマンドアンドコントロールドメインとTelegramの死活リンクを即座にブロックすべきです。影響を受けたシステムは隔離され、完全なフォレンジック分析を通じて調査されるべきです。
"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodes initial_access["<b>アクション</b> – <b>T1204.002 ユーザー実行</b>: 被害者は偽のVPNまたはハードウェアユーティリティサイトから悪意のあるZIPをダウンロードし、実行します。"] class initial_access action malicious_zip["<b>マルウェア</b> – <b>名前</b>: 悪意のあるZIPアーカイブ<br/><b>難読化</b>: T1027.015 圧縮"] class malicious_zip malware powershell_loader["<b>プロセス</b> – <b>名前</b>: PowerShellローダー<br/><b>技法</b>: T1059.001 コマンド及びスクリプトインタープリタ"] class powershell_loader process defender_exclusion["<b>アクション</b> – <b>T1564.012 アーティファクトの隠蔽</b>: フォルダをWindows Defenderの除外リストに追加します。"] class defender_exclusion action impair_defenses["<b>アクション</b> – <b>T1562 防御の妨害</b>: PowerShellを介してセキュリティ設定を変更し、検出を回避します。"] class impair_defenses action cmstp_tool["<b>ツール</b> – <b>名前</b>: cmstp.exe<br/><b>技法</b>: T1218.003 システムバイナリプロキシ実行"] class cmstp_tool tool uac_bypass["<b>アクション</b> – <b>T1548.002 UACの回避</b>: 特別に作成されたINFファイルを用いてCMSTPを使用し、権限を昇格させます。"] class uac_bypass action regasm_tool["<b>ツール</b> – <b>名前</b>: regasm.exe<br/><b>技法</b>: T1218.009 システムバイナリプロキシ実行"] class regasm_tool tool process_hollowing["<b>アクション</b> – <b>プロセスホローイング</b>: NT APIを通じてRegasmプロセスを作成し、ホローイングします。"] class process_hollowing action dll_hijack["<b>アクション</b> – <b>T1574.001 DLLハイジャッキング</b>: 正当な実行ファイルによって読み込まれる悪意のあるiviewers.dllを展開します。"] class dll_hijack action persistence["<b>アクション</b> – <b>T1546 イベントトリガー実行</b> & <b>T1547 ブートまたはログオン自動開始</b>: ユーザーログオン時にエレベーテッド権限でペイロードを実行するタスクをスケジュールします。"] class persistence action cred_browser["<b>アクション</b> – <b>T1555.003 ウェブブラウザからの認証情報</b>: 複数ブラウザからパスワードとクッキーを収集します。"] class cred_browser action cred_cookie["<b>アクション</b> – <b>T1539 ウェブセッションクッキーを盗む</b>: ウェブサービスのセッションクッキーを抽出します。"] class cred_cookie action browser_discovery["<b>アクション</b> – <b>T1217 ブラウザ情報探索</b>: ブラウザプロファイル、拡張機能、設定を列挙します。"] class browser_discovery action c2_dead_drop["<b>アクション</b> – <b>T1102.001 ウェブサービス死活リゾルバ</b>: Telegramのドロップリンクチャネルから追加のC2情報を取得します。"] class c2_dead_drop action c2_bidirectional["<b>アクション</b> – <b>T1102.002 ウェブサービス双方向通信</b>: 暗号化されたHTTPを介してC2と通信します。"] class c2_bidirectional action %% Connections initial_access –>|配信する| malicious_zip malicious_zip –>|実行する| powershell_loader powershell_loader –>|隠しディレクトリを作成して除外を追加する| defender_exclusion powershell_loader –>|セキュリティ設定を変更する| impair_defenses powershell_loader –>|呼び出す| cmstp_tool cmstp_tool –>|実行可能にする| uac_bypass uac_bypass –>|起動する| regasm_tool regasm_tool –>|実行する| process_hollowing process_hollowing –>|落とす| dll_hijack dll_hijack –>|促進する| persistence persistence –>|立脚地を提供する| cred_browser cred_browser –>|収集する| cred_cookie cred_browser –>|収集する| browser_discovery cred_cookie –>|使用する| c2_dead_drop browser_discovery –>|情報を供給する| c2_dead_drop c2_dead_drop –>|通信する| c2_bidirectional "