フォローする 
概要
Amatera Stealer 4.0.2 Betaは、2018年からMalware-as-a-Serviceとして販売されている改良されたC++情報スティーラーです。このアップデート版は、より強力なアンチデバッグ及びアンチ解析機能を導入し、Kaspersky製品とウクライナ語キーボードレイアウトに関連するジオフェンシングチェックを含み、コマンド & コントロールの暗号化にはAES-256-CBCをECDHキー交換とChaCha20-Poly1305に置き換えました。収集モジュールも拡張され、追加の仮想通貨ウォレットやブラウザ拡張にターゲットを絞り、DiscordとSignalのアーティファクト収集にも対応しています。配信にはClickFix技術を利用しています。 mshta.exe チェーンが32ビットのシェルコードローダーを展開し、スティーラーをメモリに直接反射的に注入します。
調査
eSentire Threat Response Unitは、2026年4月に金融セクター環境での完全な配信チェーンを観察しました。彼らの分析により、7つのコアAPIを解決し、128バイトのXORキーでペイロードを復号化し、aPLibで解凍し、リフレクティブPEインジェクションを実行する32ビットのシェルコードローダーが特定されました。このローダーはまた、RecycledGateとFreshyCallsシステムコール解決方法とシステムコール番号の暗号化を統合しました。設定データはChaCha20-Poly1305で保護されたECDHベースのキー交換を通じてHTTPSで配信され、設定へのアクセスにはハードコードされたGUIDが必要でした。
緩和策
防御者は信頼されていないURLから取得したファイルの実行をブロックし、可能な場合はグループポリシーを通じて実行ダイアログを無効にすべきです。アプリケーション制御ツール(AppLockerやWDACなど)を使用して、無許可のPowerShellやHTAの実行を防ぐべきです。セキュリティチームは、カスペルスキーのドライバーパスやウクライナ語キーボードレイアウトのチェックを監視すべきです。これらは回避行動を示す可能性があります。エンドポイント保護は反射的注入技術とAPIハッシュ依存ローダーを検出可能であるべきです。 mshta.exe execution for files retrieved from untrusted URLs and disable the Run dialog through Group Policy where possible. Application control tools such as AppLocker or WDAC should be used to prevent unauthorized PowerShell and HTA execution. Security teams should also monitor for known Kaspersky driver paths and checks for Ukrainian keyboard layouts, as these may indicate evasion behavior. Endpoint protection should be capable of detecting reflective injection techniques and loaders that rely on API hashing.
対応
Amatera Stealerの活動が検出された場合、感染システムを直ちに隔離し、悪意のあるプロセスを停止し、キーとペイロード解析のためにメモリダンプを収集すべきです。可能な場合、設定詳細の回収と流出したデータの特定のために復号化されたTLSトラフィックをキャプチャします。ホスト上に存在する資格情報や仮想通貨ウォレットの完全なレビューを行う必要があります。組織は、報告されたIOCと関連する攻撃者技術を使用して環境全体でインジケーターに基づいたハンティングを開始すべきです。
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[“<b>アクション</b> – <b>T1218.005</b> mshta実行<br/>ユーザーが悪性HTMLアプリを実行”] class action_user_execution action process_powershell[“<b>プロセス</b> – PowerShell<br/>Base64エンコードコマンド”] class process_powershell process tool_reflective_loader[“<b>ツール</b> – リフレクティブローダー<br/>32bitシェルコードをダウンロード”] class tool_reflective_loader tool technique_reflective_loader[“<b>テクニック</b> – <b>T1620</b> リフレクティブコードローディング”] class technique_reflective_loader technique technique_xor_obfusc[“<b>テクニック</b> – <b>T1027.002</b> XOR難読化”] class technique_xor_obfusc technique technique_aplib_compress[“<b>テクニック</b> – <b>T1027.007</b> aPLib圧縮”] class technique_aplib_compress technique technique_anti_debug[“<b>テクニック</b> – <b>T1652</b> 分析環境検出”] class technique_anti_debug technique malware_stealer[“<b>マルウェア</b> – スティーラー<br/>資格情報、シードフレーズ、秘密鍵を収集”] class malware_stealer malware technique_credential_browser[“<b>テクニック</b> – <b>T1555.003</b> ブラウザ認証情報”] class technique_credential_browser technique technique_credential_manager[“<b>テクニック</b> – <b>T1555.004</b> Windows資格情報マネージャー”] class technique_credential_manager technique technique_credential_manager_file[“<b>テクニック</b> – <b>T1555.005</b> パスワードマネージャー”] class technique_credential_manager_file technique technique_credential_chat[“<b>テクニック</b> – <b>T1552.008</b> 不安全なチャット送信”] class technique_credential_chat technique technique_credential_files[“<b>テクニック</b> – <b>T1552.001</b> 資格情報ファイル”] class technique_credential_files technique technique_search_downloads[“テクニック – ダウンロード内のシードフレーズ検索”] class technique_search_downloads technique technique_zip[“<b>テクニック</b> – <b>T1560</b> データ圧縮”] class technique_zip technique technique_https_exfil[“<b>テクニック</b> – <b>T1573.001</b> HTTPS C2通信”] class technique_https_exfil technique technique_encrypted_exfil[“<b>テクニック</b> – <b>T1041</b> 暗号化通信による持ち出し”] class technique_encrypted_exfil technique action_user_execution –>|実行| process_powershell process_powershell –>|ダウンロード| tool_reflective_loader tool_reflective_loader –>|実装| technique_reflective_loader tool_reflective_loader –>|使用| technique_xor_obfusc tool_reflective_loader –>|使用| technique_aplib_compress tool_reflective_loader –>|検出回避| technique_anti_debug tool_reflective_loader –>|ロード| malware_stealer malware_stealer –>|収集| technique_credential_browser malware_stealer –>|収集| technique_credential_manager malware_stealer –>|収集| technique_credential_manager_file malware_stealer –>|収集| technique_credential_chat malware_stealer –>|収集| technique_credential_files malware_stealer –>|検索| technique_search_downloads malware_stealer –>|圧縮| technique_zip technique_zip –>|送信| technique_https_exfil technique_https_exfil –>|暗号化使用| technique_encrypted_exfil
攻撃フロー
検出
疑わしいLOLBAS MSHTA防御回避行動(プロセス生成経由での関連コマンドの検出)
表示
不明なトップレベルドメイン(TLD)のDNSリクエストによる疑わしいコマンド&コントロール(dns経由)
表示
検出するためのIoC(HashSha256):Amatera Stealer 4.0.2 Beta:このバリアントでの新機能
表示
デコイカスペルスキードライバーファイルのPowerShell作成[Windows Powershell]
表示
Amatera Stealer C2へのネットワーク接続とドロッパーURL[Windowsネットワーク接続]
表示
mshtaとPowerShellを介した潜在的な悪意のある実行[Windowsプロセス生成]
表示
シミュレーション実行
前提条件:テレメトリとベースライン事前フライトチェックを通過している必要があります。
論理:このセクションでは、検出ルールをトリガーするために設計された敵対者技術(TTP)の正確な実行について詳述しています。コマンドとナラティブは、特定されたTTPを直接反映し、検出ロジックによって予想される正確なテレメトリを生成することを目指します。
-
攻撃のナラティブとコマンド:
PowerShellの実行を取得した攻撃者がKasperskyのドライバー回避バグを悪用しようとしています。彼らはPowerShellのNew-Itemコマンドレットを使用して、4つのデコイドライバーファイル(klif.sys,kldisk.sys,klhk.sys,kneps.sys) をC:WindowsSysWOW64driversにドロップします。これにより、Sigmaルールと一致する正確なコマンドライン文字列を生成し、後々の特権エスカレーションまたは持続性のために活用できるファイルを植え付けつつ、アラートを引き起こします。 -
回帰テストスクリプト:
# PowerShellスクリプトで4つのデコイカスペルスキードライバーファイルを作成する $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Created $fullPath" } catch { Write-Warning "[-] Failed to create $fullPath : $_" } } -
クリーンアップコマンド:
# 作成したデコイドライバーファイルを削除して、ホストを元の状態に戻す $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Removed $fullPath" } }