Zloaderキャンペーンの検出

悪名高いZloader銀行トロイの木馬が、新しい攻撃ルーチンと回避能力を備えて戻ってきました。最新のZloaderキャンペーンは、スパムやフィッシングから悪意のあるGoogle広告に切り替える新しい感染ベクトルを活用しています。さらに、Sophisticated MechanismがMicrosoft Defenderモジュールを無効にし、Zloaderがレーダーの下で活動するのを助けています。

研究者によると、最近の機能の変化により、Zloaderはランサムウェア・アズ・ア・サービス (RaaS) プログラムから利益を得ています。2021年9月22日、米国サイバーセキュリティとインフラセキュリティ庁 (CISA) は警告しました コンティランサムウェア感染の大幅な増加について、Zloaderインフラが主要な配布チャネルとして使用されているとのことです。

Zloaderマルウェアとは？

Zloaderは、2006年以来野生で活動している悪名高いZeus銀行トロイの木馬の悪意ある後継者であり、Tredotとしても知られています。2011年にZeusのソースコードが漏洩した後、多くの変種が悪意のある舞台を席巻し、Zloaderは最も豊潤なサンプルの1つです。

当初、このマルウェアは完全な機能を持つ銀行マルウェアとして活動し、オーストラリア、ヨーロッパ、北米、南米の金融機関を標的にしていました。情報を盗む能力は、Webインジェクションとソーシャルエンジニアリングのトリックによって駆動され、無意識の被害者からログイン資格情報やその他の機密情報を収集しました。

Zloaderは、バックドアとリモートアクセスの能力を強化した多目的ドロッパーとして時間と共に進化しました。過去数年間で、Cobalt Strike、DarkSide、Ryuk、Egregor、そしてContiのようなサンプルを配信する複数の悪意のあるキャンペーンが 観察されました これにより、トロイの木馬はランサムウェアのアフィリエイトや他のハッキング集団間で、マルウェアドロッパーとして強固な評判を得ました。

Zloader感染チェーンと回避能力

最近の SentinelLabsによる調査 は、Zloaderの保守者によって採用された新しい攻撃ルーチンを詳細に説明しています。特に、脅威のアクターは従来のスパムやフィッシングを捨て、悪意のあるGoogle広告を支持しています。研究者たちは、Zloaderを押し進めるためにMicrosoftのTeamViewer、Zoom、Discordの誘惑が使用されていることを目撃しました。

Microsoftもまた この新しいZloaderトレンドを指摘しており、悪意のあるGoogle広告が被害者を正当なソフトウェアをホストしているとされる詐欺のウェブページにリンクさせます。しかし、これらのウェブサイトは、ZLoaderペイロードを配布する悪意のあるMSIインストーラーをプッシュします。そのようなインストーラーは、バックドアのバイナリとLOLBASのセットを活用して保護を乗り越えます。 this new Zloader trend detailing that malicious Google ads link victims to fraudulent web pages that allegedly host legitimate software. However, these websites push malicious MSI installers that deliver ZLoader payloads to victims. Such installers leverage backdoored binaries and a set of LOLBAS to overcome the protections.

悪意のあるコードに正当性を付加するために、Zloaderのオペレーターはインストーラーを暗号署名するための詐欺会社を登録しました。2021年8月から、SentinelLabsの研究者たちはカナダに所在するソフトウェア会社Flyintellect Incによって生成された有効な証明書で署名されたバイナリを観察しています。

新しい配信方法に加えて、ZloaderはMicrosoft Defender Antivirus（以前のWindows Defender）を無効にするメカニズムを取り入れました。特に、新しいZloaderペイロード実行チェーンにはいくつかのステージが含まれています。MSIインストーラーは最初のステージのドロッパーとして機能し、.BATファイルを落とす専用ディレクトリを作成します。その後、このファイルはWindows cmd.exe機能の助けを借りて起動され、第二ステージのダウンローダーをダウンロードします。このローダーは第三のステージを開始し、“updatescript.bat.”スクリプトをプッシュしてMicrosoft Defenderルーチンを無効にし、マルウェアをアンチウイルスから隠します。同時に、“tim.exe”形式で第四ステージのドロッパーをダウンロードし、最終的にZloader DLLを“tim.dll”としてロードします。

新しい感染チェーンは、攻撃を進めるための複雑なインフラに依存していることは注目に値します。特に、脅威のアクターはTimボットネットを使用し、2021年4月から8月にかけて登録された350以上の異なるWebドメインを取り入れています。

Zloaderの検出

Zloaderのインフラと攻撃ルーチンへのすべての革新は、マルウェアの能力の洗練度が増していることを指摘しており、特にステルス感染に重きを置いています。あなたの会社のインフラへの可能性のある攻撃を検出するために、我々のThreat Bounty開発者によって開発されたSigmaルールのセットをダウンロードすることができます。

Microsoft 365 Defender ハンティング クエリ ZLoader キャンペーン

Windows Defender AVの除外を修正して新しいZloader感染チェーンをハンティング

ZLoaderボットネット永続性の検出

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能な完全な検出リストは ここにあります. 

脅威検出をより簡単に、迅速に、シンプルにするためにSOC Primeプラットフォームに登録してください。20以上のサポートされているSIEMおよびXDR技術で最新の脅威を即座にハントし、脅威の調査を自動化し、2万人以上のセキュリティ専門家のコミュニティからフィードバックと審査を得て、セキュリティオペレーションを強化しましょう。自分の検出コンテンツを作成したいですか？我々のThreat Bountyプログラムに参加し、Threat Detection MarketplaceリポジトリにあなたのSigmaおよびYaraルールを共有し、個別の貢献に対して再発報酬を得ましょう！

プラットフォームに移動 Threat Bountyに参加