WikiLoader攻撃の検出：敵対者が偽のGlobalProtect VPNソフトウェアを利用しSEOポイズニングを通じて新しいマルウェア変種を配信

最新の 統計 は、2023年に敵対者が平均して1日あたり200,454のユニークなマルウェアスクリプトを展開し、約1.5分ごとに新しいサンプルが生み出されていることを示しています。成功したマルウェア攻撃を進めるために、脅威アクターは異なる悪意ある方法を駆使してセキュリティ保護を突破しようとしています。注目を集めている最新の悪意あるキャンペーンは、Palo Alto Networksの正当なGlobalProtect VPNソフトウェアを偽装し、SEOポイズニングを通じてWikiLoader（別名WailingCrab）を配信します。 

WikiLoaderマルウェア攻撃の検出

WikiLoaderは、セキュリティソリューションのレーダーを巧妙に避けるように設計された悪意ある脅威です。潜在的な攻撃を可能な限り早期に特定し、組織のネットワークを積極的に防御するためには、セキュリティ専門家にはカスタマイズされた検出アルゴリズムと高度な脅威検出とハンティングのためのソリューションが必要です。 

SOC Primeプラットフォーム は、共同サイバー防御のために専用のSigmaルールのセットを集約し、サイバー防御者がWikiLoader感染をタイムリーに特定できるようにします。下の 「検出を探索」 ボタンを押すだけで、関連する検出スタックにすぐにアクセスできます。

「検出を探索」

すべてのルールは30以上のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、検出には、 脅威インテリジェンス の参照、攻撃タイムライン、およびトリアージ推薦事項を含む豊富なメタデータが付加されており、脅威調査をスムーズに進行させます。

WikiLoaderバックドア解析

Unit 42の研究者は WikiLoaderの新しいバリエーションをSEOポイズニングを初回アクセスベクターとして、Palo Alto NetworksのGlobalProtect VPNソフトウェアの偽装バージョンとして配布していることを明らかにしました。最新のキャンペーンは、2024年前半に初めて観測され、主に米国の高等教育および運輸業界の部門やイタリアに所在する組織をターゲットにしています。

WikiLoader（別名WailingCrab）は、2022年に初めて特定された多段階の悪意あるローダーです。イタリアの組織をターゲットにするTA544およびTA551ハッキンググループは、以前のWikiLoaderキャンペーンの背後にいると観察されています。攻撃者は通常、マイクロソフトエクセル、マイクロソフトOneNote、またはPDF形式の添付ファイルを含むフィッシング攻撃ベクターを利用します。最も注目すべき敵対者キャンペーンでは、WikiLoaderはUrsnifを第2の悪意あるペイロードとして配信しました。 

WikiLoaderは地下マーケットプレイスで初回アクセスブローカーによって販売され、フィッシングや侵害されたWordPressサイトが一般的な配布手法とされています。しかし、最新のキャンペーンでは、フィッシングからSEOポイズニングに切り替え、武器化されたページを検索エンジン結果のトップにランクさせ、偽のVPNをプロモートしています。防御者によれば、この方法は従来のフィッシングに比べて、潜在的な被害者のプールを大幅に拡大しています。

WikiLoaderは、高度な回避技術とカスタムコード要素を備えており、マルウェアの検出と分析を妨害することを目的としています。最新のキャンペーンで観察された特定のWikiLoaderの防御回避技術には、マルウェア実行後に偽のエラーメッセージを表示し、正当なソフトウェアをリネームし、それを偽装されたGlobalProtectインストーラー内に隠してバックドアをサイドロードすること、複数のアンチマルウェア分析チェックを実行することなどが含まれます。

Proofpointの研究者は 少なくとも3つの異なるWikiLoaderのイテレーションを以前に観察しており、これはマルウェアの継続的進化を示しています。最初のバージョンには基本的なシステムコール構造、最小限の難読化、文字列エンコーディングの欠如、偽ドメインの手動作成が含まれていましたが、2番目のイテレーションではシステムコールの複雑さが増し、追加のビジーループが実装され、文字列エンコーディングとアーティファクトの削除に依存していました。3番目のWikiLoaderのイテレーションでは、新しい間接システムコール技術、MQTTを介したファイル取得、クッキーのエクスフィルトレーション、より複雑なシェルコードの実行が含まれています。

ディフェンダーは、財政的に動機付けられたハッキンググループが、強力な運用セキュリティを持つWikiLoaderをさまざまなキャンペーンで多用途でステルスなWindowsローダーとして使用し続けると予想しています。SOC Primeは、組織が増大する攻撃能力に対して競争上の優位性を得るために、セキュリティチームを AIベースの検出エンジニアリング、自動化された脅威ハンティング、堅牢なサイバーセキュリティ姿勢を構築するための高度な脅威検出のための完全な製品スイート で装備します。