コリブリ・ローダー・マルウェア検出：PowerShellを用いた異例の持続性

2021年8月に登場したマルウェアローダーのColibriは、最近発見されたばかりです。これにより Vidar ペイロードが新たな活動中で配信されています。 Colibri Loaderキャンペーンです。研究者たちは 指摘しています Colibriはこれまで追跡されていなかった特殊な持続性技術を使用していると。この更新された機能は、対抗者たちが新たなマルウェア作成を他のサイバー犯罪者に販売し続けるよう動機づけています。非通常で発見されにくい方法で持続性を確立し維持したいサイバー犯罪者に需要があります。

Colibri Loaderの道筋についてさらに知り、最新のマルウェアバージョンに特化した検出コンテンツを発見するには続きをご覧ください。

Colibri Loaderキャンペーン：検出する方法

最新の Sigmaに基づくルールを使用して、Colibri Loaderマルウェアの検出を試みることができます。これは我々の Threat Bounty 開発者であるKaan Yeniyolによって作成されたものです。このルールは脅威行為者が利用する最新の持続性手法を検出することを目的としており、MITRE ATT&CK® フレームワークからのScheduled Task/Job (T1053)技術に対処しています。

PowerShellによるScheduled Taskを作成することによる疑わしいColibri Loader持続性 (via セキュリティ)

Colibri Loaderと同様の攻撃に関連するマルウェアの最新検出情報を追跡するためには、高度な検索機能を利用できます。「検出を見る」ボタンをクリックしてアカウントにログインし、検索基準を自由にカスタマイズできます。そして、脅威検出や脅威ハンティングのプロフェッショナルな方は、グローバルクラウドソーシングイニシアチブに参加し、自分独自の検出を作成して収益化することができます。

検出を見る Threat Bountyに参加する

Colibri Loaderマルウェア解析

昨年の夏に作成されたColibri Loaderの初期バージョンは、トロイの木馬化されたファイルを通じた自己変更コードを持つEXEファイルを配信していました。進行中のキャンペーンでは、感染したWord文書でColibriボットの操作を開始し、異例の持続性戦術を確立します。一方、Vidar Stealerは被害者のコンピュータ上での他の悪意のあるミッションを担います。

以前のキャンペーンは、対応するペイロード /gate.php をダウンロードし、関数HttpSendRequestWを呼び出してHTTP GETリクエストを送信することによりC2サーバとの接続を確立しました。この Colibri Loaderペイロード新バリアントでは、リモートテンプレートのインジェクションを開始して攻撃を開始します。感染した文書はDOTテンプレートをダウンロードするためにリモートサーバと通信し、その後悪意のあるマクロに接触します。後者はPowerShellを有効にして最終的なColibriペイロードを含むEXEファイルをダウンロードします。

このキャンペーンにおけるPowerShellエクスプロイトの特徴は、感染したマシンの持続性を維持するために、かなりユニークな方法で使用されていることです。Colibri Loaderには、異なるWindowsバージョンの持続性を許可する異なる実行可能ファイルバージョンがあります。Windows 10と11用と、古いバージョン（Windows 7と8）用があります。これらのファイルがドロップされる場所も様々です。一般的に、それらの悪意あるファイルは正当なPowerShellのコマンドレットを装って実行されます。例として、WindowsAppsディレクトリにドロップされたGet-Variable.exeという悪意のあるファイルが、通常はPowerShellで使用されるGet-Variableコマンドレットに類似しているため、結果として悪意のあるバイナリが通常のコマンドの代わりに実行されます。

研究者たちはまた、隠されたウィンドウでPowerShellが実行されることも確認しました。彼らはこれがColibriによる攻撃ベクトルの最新機能の一つであると信じています。この新機能はまだ十分にセキュリティ分析によって研究されていないため、Colibri Loaderはダークサイバーマーケットで人気を獲得しています。敵を出し抜くためにサイバーセキュリティ防御を継続的に調整するのは難しいかもしれませんが、協力的な防御の利点を活用すればより効果的になります。 SOC PrimeのDetection as Codeプラットフォーム に参加し、新たに出現する脅威に耐えるために常に更新され続けるグローバルな検出コンテンツプールに即アクセスしましょう。