サイバーセキュリティ研究者は、TONブロックチェーン、正規のソフトウェア、信頼できるWindowsコンポーネントを用いるマルウェアキャンペーンを特定しました。これにより、従来のセキュリティ対策を回避できる、レジリエントな指令・制御(C2)インフラを構築します。攻撃者はブロックチェーン技術と広く使われているアプリケーションを組み合わせ、マルウェア検知を複雑にし、従来の摘発(テイクダウン)活動を妨害します。このキャンペーンは、サイバー犯罪者が分散型技術と正規のソフトウェアのエコシステムを悪用し、ドメインの遮断や従来型のセキュリティ防御にも耐えうる、非常にレジリエントなマルウェアインフラを作り出す傾向が高まっていることを示しています。
フィッシングメールが多段階の攻撃チェーンを開始
攻撃は、予約関連の連絡を装ったフィッシングメールから始まります。受信者はGoogle Shareのリンクへ誘導され、そのリンクが不正なWebサイトへリダイレクトします。そこで、直接またはClickFix風のインターフェースを通じてZIPアーカイブをダウンロードするよう求められます。ダウンロードされたアーカイブには、Windowsのshell32.dllライブラリにあるアイコンを使って画像のように偽装した、悪意のあるWindowsショートカット(LNK)ファイルが含まれています。
ショートカットファイルを開くと、難読化されたPowerShellコマンドがひそかに実行されます。攻撃者はダウンロード元のドメインを平文で保存する代わりに、2つの大きな数値としてアドレスをエンコードします。埋め込まれたPowerShellスクリプトは、算術演算やビット演算を行うことで悪意のあるドメインを再構築し、静的解析中にセキュリティツールがインフラを特定しにくくしています。
次にPowerShellのペイロードは、ターゲット端末にNode.jsランタイムがすでにインストールされているかを確認します。存在しない場合、マルウェアはプロジェクトの公式配布インフラから正規のWindows版Node.jsをダウンロードし、ユーザーのLocalAppDataディレクトリへ抽出します。不正な実行ファイルだけに頼らず真正のソフトウェア構成要素を用いることで、攻撃者は自らの動作を正当なアプリケーション挙動に紛れ込ませ、検知される可能性を下げようとしています。
JavaScriptペイロードはカスタム仮想マシン・インタプリタを使用
Node.jsをインストールする、または見つけた後、マルウェアはAES-128-CBC暗号化とBase64エンコードで保護されたJavaScriptペイロードを復号します。復号されたコードは正規のNode.jsランタイムで実行され、C2設定はランタイム引数として渡されます。
研究者によると、JavaScriptのインプラントは大幅に難読化され、標準のJavaScriptではなくカスタムの仮想マシン・インタプリタを通じて実行されていました。この手法は、従来のシグネチャベースのセキュリティツールが悪意のあるコードを容易に特定できないようにするため、マルウェア解析の複雑さを大きく増大させます。
ブロックチェーンでホストされた設定がC2更新を可能にする
この攻撃は、レジリエントな指令・制御(C2)インフラとしてTONブロックチェーンを使用し、攻撃者が侵害済みシステムに既にインストール済みのマルウェアを変更したり再配布したりすることなく、悪意のある命令を更新できるようにします。捜査担当者は、キャンペーンに関連する複数の過去のC2ドメインを特定しました。しかしマルウェアは、命令のために固定ドメインに依存しているわけではありません。代わりに、インフラが遮断されたときは運用者がブロックチェーン上でホストされた設定データを変更できるため、感染したシステムは、マルウェア自体を置き換える必要なく、更新されたC2情報を取得できます。
マルウェアは、Windows実行ファイル、PowerShellスクリプト、追加のJavaScriptペイロードをダウンロードすることが可能です。ダウンロードしたWindowsプログラムを実行する前に、Portable Executable(PE)ファイルヘッダーを検証し、一時ディレクトリにランダムに生成した名前で保存します。さらに、実行中の検知リスクを下げるために、Microsoft Defenderの除外リストへファイルパスを追加しようとする場合があります。
セキュリティチームにはフィッシングと不正なソフトウェア導入の監視を助言
研究者は、旅行や予約関連のテーマを用いたフィッシングキャンペーンに対し、特にGoogle Shareリンクを含むメールでユーザーを疑わしいダウンロードへ誘導するものには警戒を強めるよう、組織に助言しました。また、画像のように偽装されたLNKショートカットファイルを含むZIPアーカイブ、予期しないPowerShellの活動、企業環境での不正なNode.jsのインストールの監視も推奨しています。
FAQ
このマルウェアキャンペーンでTONブロックチェーンは何に使われますか?
TONブロックチェーンは、侵害済みシステムに既にインストール済みのマルウェアを変更したり再配布したりすることなく、攻撃者が悪意のある命令を更新できるようにするレジリエントな指令・制御(C2)インフラとして使われます。運用者は、インフラが遮断されるたびに、ブロックチェーン上でホストされた設定データを変更でき、その結果、感染したシステムは更新されたC2情報を取得できます。
マルウェアはどのようにして正規のソフトウェアのように見せかけますか?
マルウェアはプロジェクトの公式配布インフラからNode.jsの正規のWindows版をダウンロードし、真正のNode.jsランタイムを通じて暗号化されたJavaScriptペイロードを実行します。信頼できるソフトウェア構成要素やWindowsユーティリティに頼ることで、攻撃者は自らの動作を正当なアプリケーションの挙動に紛れ込ませ、セキュリティツールによる検知の可能性を低減します。