ハッカーは、Windows 用の Windows Problem Reporting (WerFault.exe) エラー報告ツールを悪用して、DLL サイドローディング手法を使用して侵害されたシステムのメモリにマルウェアを読み込みます。
この Windows 実行可能ファイルは、正規の Windows 実行可能ファイルを介してマルウェアを起動することで、侵害されたシステムに警告を発することなくデバイスを密かに感染させるために使用されます。
新しいキャンペーンは、ハッカーを特定できなかったK7 Security Labsによって発見されましたが、彼らは中国に拠点を置いていると考えられています。
WerFault.exe の悪用
マルウェア キャンペーンは、ISO が添付された電子メールの到着から始まります。ダブルクリックすると、ISO は、Windows WerFault.exe 実行可能ファイル、DLL ファイル (‘faultrep.dll’)、XLS ファイル (‘File.xls’)、およびショートカット ファイル (‘inventory & our specialties.lnk’)。
.jpg)
出典: K7 ラボ
被害者は、「scriptrunner.exe」を使用して WerFault.exe を実行するショートカット ファイルをクリックして、感染チェーンを開始します。
WerFault は、Windows 10 および 11 で使用される標準の Windows エラー報告ツールであり、オペレーティング システムまたはアプリケーションに関連するエラーをシステムが追跡および報告できるようにします。
Windows はこのツールを使用してエラーを報告し、潜在的な解決策の推奨事項を受け取ります。
ウイルス対策ツールは通常、Microsoft によって署名された正規の Windows 実行可能ファイルである WerFault を信頼しています。そのため、通常、システム上で起動しても被害者に警告するアラートはトリガーされません。
WerFault.exe が起動されると、既知の DLL サイドローディングの欠陥を使用して、ISO に含まれる悪意のある「faultrep.dll」DLL をロードします。
通常、「faultrep.dll」ファイルは、WerFault を正しく実行するために必要な C:WindowsSystem フォルダにある Microsoft の正規の DLL です。ただし、ISO 内の悪意のある DLL バージョンには、マルウェアを起動する追加のコードが含まれています。
正規の DLL と同じ名前で悪意のある DLL を作成し、代わりにロードされるようにする手法は、DLL サイドローディングと呼ばれます。
DLL サイドローディングでは、悪意のあるバージョンの DLL を、それを呼び出す実行可能ファイルと同じディレクトリに配置する必要があります。実行可能ファイルが起動されると、同じ名前である限り、Windows はネイティブ DLL よりも優先します。
この攻撃で DLL がロードされると、2 つのスレッドが作成されます。1 つは Pupy Remote Access トロイの木馬の DLL (「dll_pupyx64.dll」) をメモリにロードし、もう 1 つは含まれている XLS スプレッドシートを開いておとりとして機能させます。
.jpg)
出典: K7 ラボ
Pupy RAT は、検出を回避するためのリフレクティブ DLL ロードをサポートする Python で記述されたオープンソースで公開されているマルウェアであり、追加のモジュールは後でダウンロードされます。
このマルウェアにより、攻撃者は感染したデバイスに完全にアクセスできるようになり、コマンドを実行したり、データを盗んだり、さらにマルウェアをインストールしたり、ネットワークを介して横方向に拡散したりできます。
オープンソース ツールとして、イランの APT33 や APT35 グループなど、 国家が支援する複数のスパイ活動グループによって使用されています。これらのツールは、アトリビューションと永続的な操作の追跡を困難にします。
QBot マルウェア ディストリビュータは、昨年の夏に同様の攻撃チェーンを採用し、Windows Calculator を悪用してセキュリティ ソフトウェアによる検出を回避したことが確認されました。
Comments