CoffeeLoader検出:SmokeLoaderを介して拡散する新たな巧妙なマルウェアファミリー
目次:
ディフェンダーは、CoffeeLoaderという新しいステルスマルウェアを観察しました。このマルウェアは、高度な回避技術を使用してセキュリティ保護を回避し、Red Teamの手法を利用してその効果を高めています。配布は SmokeLoaderを通じて行われ、CoffeeLoaderは検出を回避しながらセカンダリペイロードを実装し、そのステルス攻撃は検出および防御が困難です。
CoffeeLoaderを検出する
現在、 10億を超えるマルウェアの亜種 がサイバー脅威エリアで流通しており、日々300以上のマルウェアが作成されています。新たな脅威に警戒を続けることが、これまで以上に重要です。しかし、攻撃の表面が拡大し、侵入戦術が進化するにつれて、初期侵入検出は依然として複雑な課題です。
SOC Prime プラットフォーム は、最新の脅威に対抗するための世界最大の検出アルゴリズムリポジトリを提供しており、リアルタイムのCTIで強化され、脅威の検出と狩猟のための高度なツールに裏打ちされています。SIgma規則のセットを強調し、最新のCoffeeLoader攻撃に常に注目し続けてください。 検出を探る ボタンを押してください。
すべての規則は、複数のSIEM、EDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CKフレームワーク にマップして脅威調査を効率的にします。各規則には、 CTI 参照、攻撃タイムライン、トリアージの推奨事項、およびその他の詳細なメタデータが含まれています。
さらに、セキュリティ専門家は、最新のZscalerの 研究 に基づいてCoffeeLoaderのIOCを追跡できます。 Uncoder AIを使用することで、セキュリティ専門家はこれらのIOCを容易に解析し、選択したSIEMまたはEDRプラットフォームに合わせたカスタムクエリに変換できます。Uncoder AIはまた、脅威に関する検出エンジニアリングに向けた非代理型のプライベートAIとして機能し、チームに研究、コーディング、検証、翻訳、検出展開をその場で行うための高度なツールを提供します。Uncoder AIの機能についての詳細は こちら.
CoffeeLoaderの分析
Zscaler ThreatLabzの研究者によって、2024年9月頃に初めて検出されたCoffeeLoaderと名付けられた高度な新しい悪意のある亜種が明らかにされました。これは、セカンダリペイロードを密かにダウンロードおよび実行するように設計されており、高度な回避技術を使用してエンドポイントセキュリティ対策を回避します。 have uncovered a sophisticated new malicious strain named CoffeeLoader, first detected around September 2024. Designed to stealthily download and execute secondary payloads, CoffeeLoader uses advanced evasion techniques to bypass endpoint security measures.
CoffeeLoaderは、検出を回避しながら第二段階のペイロードを展開するための高度なマルウェアローダーであり、ほとんどのクライムウェアと同様にCoffeeLoaderサンプルはパックされています。ThreatLabzは通常、アンパックの詳細を省略しますが、CoffeeLoaderは仮想環境での分析を妨げるユニークなGPUベースのパッカーを使用していることで際立っています。ASUSの正当なArmoury Crateユーティリティを模倣するArmouryとして追跡されています。
アンパックされると、CoffeeLoaderはマルウェアをインストールするドロッパーを実行します。研究者たちは、異なる機能を持つ複数のドロッパーのバリエーションを特定しました。あるバージョンは、詰め込まれたCoffeeLoader DLLをテンポラリディレクトリに ArmouryAIOSDK.dllという名前でコピーします。管理者権限で実行する場合、CLUを経由してDLLを実行します。エレベートされていない権限では、CMSTPLUA COMインターフェイスを使用してUACを迂回しようとします。このバリアントは持続性を確立せず、カスタムハッシュアルゴリズムを使用してAPI関数を解決します。 rundll32.exe. Without elevated privileges, it attempts to bypass UAC using the CMSTPLUA COM interface. This variant does not establish persistence and resolves API functions using a custom hashing algorithm.
一部のCoffeeLoaderサンプルは、Windowsタスクスケジューラを使用して持続性を確立します。古いバージョンはschtasks.exeを使用し、新しいバージョンはITaskScheduler COMインターフェイスを活用します。ドロッパーはファイル属性を読み取り専用、非表示、システムに設定し、SetEntriesInAclWを使用してパックされたCoffeeLoader DLLへのユーザーアクセスを制限します。
CoffeeLoaderのドロッパーは、ハードコーディングされた名前でスケジュールされたタスクを通じて持続性を維持します。管理者権限で動作する場合、ユーザーのログオン時に最高の実行レベルで実行され、それ以外の場合は30分ごと、または最新のバージョンでは10分ごとに実行されます。
インストール後、ドロッパーはCoffeeLoaderのステージャーを起動し、終了します。主要なCoffeeLoaderモジュールは、DJB2ハッシュアルゴリズムを介してAPIアドレスを解決し、BokuLoaderにインスパイアされたコールスタックスプーフィング、スリープ難読化、Windowsファイバーなどを使用してEDR監視を回避する複数の回避戦術を採用しています。
C2通信には、CoffeeLoaderはハードコーディングされたサーバーと共にHTTPSを使用します。主要なC2チャンネルが失敗した場合、ドメイン生成アルゴリズムを採用し、セキュリティを確保するために証明書ピンニングを使用します。
このローダーは、 SmokeLoader を通じて拡散されており、両方のマルウェアファミリは類似した動作を示しています。研究者は、CoffeeLoaderとSmokeLoaderの一連の特徴的な類似性を明らかにしました。後者は、ウクライナに対するフィッシングキャンペーンで UAC-0006活動に関連して頻繁に使用されます。これらの共有能力には、ステージャを使用して別のプロセスにメインモジュールを注入する、システム識別子に基づくボットID生成、ボットIDに関連付けられたミューテックスの作成があります。両方のマルウェアはハッシュによってインポートを解決し、内部変数とAPI関数ポインタ用にグローバル構造を使用し、ハードコードされたRC4キーを使用してネットワークトラフィックを暗号化します。さらに、両方のマルウェアファミリは、低レベルのWindows APIを多用し、ファイル属性をシステムと非表示に設定し、スケジュールされたタスクを通じて持続性を維持します。
特に、2024年末には、新しいSmokeLoaderバージョンが報じられ、CoffeeLoaderと多くの— しかしすべてではない—広告されているEDRおよびAV回避機能を共有しています。しかし、CoffeeLoaderがその後継者なのか、類似性が偶然なのかは不明のままです。
CoffeeLoaderは、AV、EDR、およびサンドボックスを回避するための高度な機能を備え、攻撃能力を強化する革新的なRed Team技術を利用することで、サイバー脅威のランドスケープで際立っています。進取的な企業は、潜在的な侵入に対する防御を強化する新しい方法を模索しています。 SOC Prime プラットフォーム は、セキュリティチームにAI、実用的な脅威インテリジェンス、そして集団の業界専門知識を活用して、企業が攻撃面を縮小し、あらゆる高度な脅威を超越するための先進の企業向けソリューションを提供します。