新バックドア「Yokai」、DLLサイドローディングでセキュリティをバイパス
Securityonline[.]info – December 17, 2024
DLLサイドローディングによって配布される新たなバックドア「Yokai」について、Netskopeが報告。このマルウェアを用いる攻撃者は、おとり文書と正規のアプリケーションを使ってタイの公務員をターゲットにしているという。
Netskopeの研究者らは、脅威ハンティング活動の実施中にあるRARファイルを発見。これにはタイ語の名前がつけられたLNKショートカットファイル「กระทรวงยุติธรรมสหรัฐอเมริกา.pdf(米国司法省.pdf)」および「ด่วนที่สุด ทางการสหรัฐอเมริกาขอความร่วมมือระหว่างประเทศในเรื่องทางอาญา.docx(緊急、米国当局が犯罪事案における国際協力を要請.docx)」が含まれていたという。
これらのショートカットファイルを開くと、Windowsの正規ユーティリティながらも度々攻撃者により悪用される「esentutl」がトリガーされ、これによって「file.exf」というADS(代替データストリーム)に隠されていたコンテンツがコピーされて、おとりのPDFおよびWord文書へペーストされる。その後無害なおとりの文書が開かれるため、その裏で有害ペイロードが密かに実行されているとは気付かれづらい。
第二のデータストリームから抽出される有害なペイロードは実行ファイル「file.exe」を実行し、file.exeは以下3件のファイルを「C:\ProgramData\police」というフォルダーパスへドロップする。
- IdrInit.exe – iTop Data Recoveryという正規アプリケーションの実行ファイル
- ProductStatistics3.dll – Yokaiバックドア
- IdrInit.exe.data – 攻撃者のC2と通信するのに使われるデータ
こうして投下されたYokaiはユーザー名やホスト名を含む主要なシステム情報を収集し、そのデータを転送用に156バイトのブロックへフォーマットする。そのほか、同バックドアは主に以下のようなC2コマンドに対応しているという。
- cmd.exeのスポーニングとシェルコマンドの実行
- システムデータの抽出
- シーケンス番号と暗号鍵を用いた永続的な通信の維持
この新たなYokaiバックドアは、脅威アクターたちがDLLサイドローディングという手法を通じて相変わらず正規のソフトウェアを悪用し続けているという事実を体現する存在となった。iTop Data RecoveryやWindowsユーティリティといった信頼された正規のツールを利用することで、攻撃者はステルス性を確保し、標的システム内での永続性を維持することが可能となる。DLLサイドローディングのリスクを軽減するため、組織にとっては、高度な検出メカニズムを導入することと、プロセスが複製されるなどの異常な挙動がないかモニタリングすることが必須となるとのこと。
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価