最新のZloaderキャンペーンがMicrosoftの署名検証を悪用

Zloader（別名：TerdotおよびDELoader）は、世界中で猛威を振るい、銀行システムの防御を回避しています。特に破滅的な Log4jの脆弱性と共にクリスマスツリーの下で見つかることを予想する人はいないでしょうが、これらは私たちが生きている少し狂った時代の証です。研究者によると、Zloaderの攻撃ルーチンは規模と巧妙さが増し、多様なテクニックと回避方法を取り入れています。過去数年間、敵対者はZloaderマルウェアを展開するためにさまざまなアプローチとエクスプロイトを採用してきました。

Zloaderのサイバー攻撃

Zloaderは、ログイン資格情報とユーザーのプライベート情報を盗むために設計された銀行マルウェアで、新しい感染チェーンと共に復活しています。このマルウェアは2006年から知られるZeuSマルウェアファミリーから派生し、2015年に初めて登場し、敵対者がアカウントの資格情報とその他の機密データを盗むことを可能にしました。最も悪名高い銀行トロイの木馬であるこのマルウェアは、その勢いを増しています。2011年にZeuSのコードが漏洩して以来、数多くの Zloaderの亜種 が敵対者によって既に実装されています。ツールの効果的な性質を考えると、さらに多くのものが現在進行中で開発されていると考えるのが妥当です。

この特定のサイバー キル チェーンがマイクロソフトの電子署名を悪用して、2021年11月にはすでにサイバーギャングMalSmokeによって開始されたと広く議論されています。新しいZloader銀行マルウェアキャンペーンは、マイクロソフトのデジタル署名検証を悪用して、署名されたシステム DLL にコードを注入し、111 か国以上で2200人以上のユーザーに影響を与えています。

新しいZloader攻撃キルチェーン

詳細な Check Pointによる分析 により、最新のZloaderキャンペーンが正当なAteraリモート監視および管理（RMM）ツールを悪用してターゲットのインスタンスに足場を築くことが明らかになりました。特に、敵対者はエンドポイントにエージェントをインストールするAteraの機能を利用し、攻撃者のメールアドレスに紐付いた特定のアカウントに割り当てます。これにより、脅威アクターは関心を持つシステムへの完全なアクセスを得ることができ、悪意のあるコードを実行したり、ファイルをアップロードまたはダウンロードしたりする能力を持ちます。

攻撃の次のステージを探る中で、セキュリティ専門家は、Windows Defenderの設定を変更し、他の悪意のあるコードの一部をアップロードするために敵対者によって実行される2つの.batファイルを認識しました。後者の「appContast.dll」は「regsvr32.exe」で実行され、「msiexec.exe」プロセスに注入されて、C＆Cサーバーからの最後のZloaderペイロードをロードします。

キャンペーンのオペレーターは、ターゲットのシステムへの幅広いアクセスを許可しながら、回避能力を強化するために多くの努力を払っています。セキュリティ専門家は、攻撃全体で検出を回避するため、特権をエスカレートするため、セキュリティ保護を無効にするため、および実行中のプロセスにメインペイロードを注入するために、いくつかのスクリプトが使用されていると指摘しています。

特に、Zloaderをインストールするためのスクリプトが付属した正当なAteraライブラリであるappContast.dllは、有効なコード署名を取得するため、Windows OSは実質的にそれを信頼します。Check Pointの専門家は、MalSmokeハッカーが2012年に公開されたマイクロソフトの署名検証プロセスの古い問題（CVE-2020-1599、CVE-2013-3900、CVE-2012-0151）を活用したと考えています。ベンダーがより厳しいファイル検証ポリシーでバグを修正したにもかかわらず、アップデートがデフォルトの設定で依然として無効になっているのは何故か。

最新のZloaderキャンペーンの検出

Zloaderに対する防御を強化し、自社インフラに対する潜在的な攻撃を検出するには、SOC PrimeのDetection as Codeプラットフォームで無料のSigmaルールをダウンロードできます。

Microsoft署名検証を悪用した新しいZloader銀行マルウェアキャンペーン（registry_event経由）

この検出は、次のSIEM、EDR、およびXDRプラットフォームに対応しています：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、SentinelOne、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、Carbon Black、Sysmon、Qualys、Securonix、Open Distro。

ルールは最新のMITRE ATT&CK®フレームワークv.10に準拠しており、Modify Registryを主要な技術としてDefense Evasionの戦術に対処しています（T1112）。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能な検出の完全なリストは ここ. 

SOC Primeに参加し、20以上のSIEMおよびXDRプラットフォームに統合された世界初の協働サイバー防衛プラットフォームであるSOC Primeで、最新の脅威を即座にハントし、脅威の調査を自動化し、20,000人以上のセキュリティ専門家コミュニティからのフィードバックと査定を得てセキュリティ運用を強化しましょう。あなたはコンテンツオーサーですか？ SOC Prime Threat Bountyプログラムに参加して、世界最大のサイバー防衛コミュニティの力を活用して、自分自身の検出コンテンツを収益化しましょう。

プラットフォームに移動 Threat Bountyに参加