昨年存在が確認されたPikaBotマルウェアは、進化し続ける脅威ランドスケープにおいて主要なプレイヤーになろうとしています。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年2月1日付)を翻訳したものです。
Flashpointのアナリストは、PikaBotが着実に存在感を高めていることに加え、その攻撃チェーンが変化し続けていることを観測してきました。このマルウェアを扱う脅威アクターは、さまざまな形式の初期インストーラーファイルを使って標的を狙います。
弊社のアナリストは、セキュリティ研究者らが特定したPikaBotの攻撃チェーンにおける6種類の感染メソッドをレビュー・検証しました。
- PDFのルアー
- Windowsインストーラー
- フィッシングメール
- .HTAファイル
- Windowsスクリプトファイル
- .XLLファイル
PikaBotとは?概要と感染の仕組み
PikaBotは2023年2月に最初に確認されたモジュラー型トロイの木馬で、ローダーとコアモジュールで構成されています。トロイの木馬のQakbotとの共通点が多くあり、多様かつ高度な感染メソッドを利用します。PikaBotは通常、フィッシングメールや有害な検索広告を経由して送り込まれますが、最初のペイロードはさまざまな形式で標的に配布されます。
古いバージョンのPikaBotは検知が可能であった一方で、Flashpointのアナリストが検証したのは、検知回避能力が非常に高い複数のバージョンです。PikaBotの感染により、標的のシステムに侵入した後に行う攻撃用ツールの拡散(Cobalt Strikeやランサムウェアの配布など)が円滑化されています。
PikaBot感染メソッド1:PDFのルアー
Flashpointは、ある文書をダウンロードさせようとするPDFのルアーが標的のユーザーに配布されているケースをいくつかの感染事例の中で確認しました。
中には、インストール用ファイル付きのアーカイブをダウンロードさせようとする有害なURLに標的を誘導するものがある一方で、ルアーがMicrosoft OneDriveに偽装しているものもあります。後者の手法に関しては、昨年Qakbotが再登場した際にも流用されていました。
しかし被害者は多くの場合、対象の文書ではなくPDFのルアーに貼られたリンクのURLから、PikaBotのインストール用ファイルが含まれるアーカイブをダウンロードしています。インストール用ファイルはJavaScriptのドロッパーであるケースがほとんどです。
この高度に難読化されたドロッパーの目的は、有害なURLから「curl」ユーティリティを使ってPikaBotローダーの第1段階を実行することです。こういったJavaScriptのドロッパーの難読化技術は、検知を回避するために絶えず更新されています。
PikaBot感染メソッド2:Windowsインストーラー
最近観測されたPikaBotのキャンペーンで、インストーラーファイルはWindowsインストーラーのファイル形式「.msi」を用いて配布されていました。この場合でも、このファイルはC2アドレスからPikaBotローダーの第1段階を取得し、ユーザーの「\AppData\Local\Temp\」フォルダにあるペイロードを実行しています。Qakbotの最近の感染メソッドでも、.dllローダーを実行する.msiインストーラーが使われています。
PikaBot感染メソッド3:フィッシングメール
PikaBotのフィッシングルアーには、フィッシングメールに添付されたHTMLファイルがダウンロード・実行される際に不正なコードを実行するという、HTMLスマグリングの技術も使われています。
HTMLの添付ファイルには有害なJavaScriptコードが含まれており、ユーザーが添付ファイルを開くとこれが実行され、標的のマシンにインストール用ファイルがダウンロードされます。
関連するその他のEメールキャンペーンでも、PikaBotはEメール本文の中に誘い文句を記載し、標的がURLにアクセスしてアーカイブを直接ダウンロードするように誘導しています。中にはインストーラーファイルが、正規のPDFファイルを装うアイコンのついた「.LNK」ファイル形式で配布されるケースもあります。
LNKファイル内には、PikaBotローダーの第1段階の実行命令が含まれており、このインスタンスの実行のために、PikaBotはアプリケーションホワイトリスティングをバイパスするための特定の手段を講じます。
PikaBot感染メソッド4:.HTA
PikaBotはHTMLアプリケーション、つまり「.HTA」ファイルを通じて配布され、ダブルクリックすると通常の実行ファイルと同じように動作できることも、Flashpointによって観測されています。
この場合、.HTAファイルから不正なURLにリダイレクトされ、別の抽象化レイヤーを表示した後にインストール用ファイルが送り込まれます。
PikaBot感染メソッド5:Windowsスクリプトファイル
このマルウェアはインストーラーとして、JScriptまたはVisual Basicコードを含めることができるファイルタイプのWindowsスクリプトファイルを利用していることも確認されています。この手法は類似性のあるPDFのルアーとともに、昨年4月のQakbotキャンペーンでも確認されました。
PikaBot感染メソッド6:.XLL
インストール用ファイルにはMicrosoft Excelアドインの拡張子「.XLL」も利用されます。これらのファイルはオープンソースのフレームワークを利用し、リソースを含む「.NET」アセンブリをメモリに直接ロードします。この場合はXLLファイルが実行され、Visual Basicスクリプトファイルをユーザーのパブリックフォルダにドロップし、cuel.exeを使ってPikaBotローダーの第1段階が取得されます。
PikaBotの機能
それぞれのインストール用ファイルは、PikaBotローダーの第1段階だけを取得して実行します。これは常にダイナミックリンクライブラリ(DLL)の形式で提供されます。このマルウェアの初期バージョンで、DLLはレジストリのrunキーとスケジュールされたタスクを通じて永続性を確立しました。スケジュールされたタスクは、シェルコードを起動してマルウェアの第2段階とコアモジュールをダウンロードして実行し、これが正規のWindowsバイナリに挿入されます。
PikaBotのアップデート版には、改良された解析防止技術が組み込まれています。ローダーのペイロードはパックされた状態で被害者に配布され、実行時に解凍されます。しかし、このマルウェアはEDRシステムを回避するために、ネイティブWindows APIによって命令がメモリ内で実行される手法を利用するようになりました。これはコードモジュールを別の正規のWindowsバイナリに挿入する以前のバージョンとは異なり、コアモジュールは正当な文字列を含むバイナリの正当なバージョンを模倣するように構築されています。
コードモジュールがホストにロードされると、マルウェアはオペレーティングシステムとドメインの情報を収集し、データを抜き取ります。このマルウェアには任意のコマンドを実行したり、追加のペイロードをダウンロードしたりする機能のほか、標的のプロセスにシェルコードを挿入する機能も含まれています。
PikaBotから身を守る方法
PikaBotマルウェアは着実に勢力を拡大しつつあり、絶えずアップデートを繰り返していることやQakbot復活後も粘り強く活動を続けていることを考えても、脅威ランドスケープにおいてさらに存在感を高めています。
感染を防止するためにFlashpointでは以下を推奨しています。
- ファイルタイプ「.hta」「.xll」「.msi」「.js」「.wsf」のインストーラーはすべてユーザーによる実行を無効にする。
- LotL(Living Off The Land)バイナリと列挙型バイナリの悪用を適切に検知できるようにする。
- Webプロキシでコンテンツの検査を行う。
- パスワードで保護されたzipアーカイブ内のファイルについて、ユーザーによる実行を制限する。
Flashpointで万全のセキュリティ体制を
脅威ランドスケープは絶えず進化しています。Flashpointのデータとインテリジェンスを活用することで、組織のセキュリティ体制が強化され、デジタル資産を安全に保護できるようになります。トライアルをお申し込みいただき、最高クラスのデータが最適なリスクマネジメントを可能にする理由を実感してください。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。