マルウェア解析のホワイトペーパー:ステガノグラフィを利用しているOceanLotus APT Group

By Cylance Research and Intelligence Team

本ブログ記事は、2019年4月2日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

2017年の第4四半期に実施されたインシデント・レスポンスの調査において、ブラックベリーサイランスのインシデント・レスポンダーと脅威リサーチャーは、OceanLotus Group(APT32、Cobalt Kittyとも呼ばれる)が配布した、特定の企業を狙ったバックドアを複数発見しました。さらに、攻撃者が難読化されたCobaltStrike Beaconペイロードを使用してコマンドアン ドコントロール(C2)を実行している証拠も発見しました。

当社のリサーチャーは、OceanLotus APT Groupの活動を引き続き監視する一方で、「.png画像ファイル」に隠された暗号化ペイロードを読み取るための、ステガノグラフィを利用している新しいペイロードローダーを発見しました。

このステガノグラフィのアルゴリズムは、検知ツールによる分析を防ぐために、元の画像と比較した場合に視覚的な違いが最小限になるように最下位ビットアプローチをカスタマイズして利用していると思われます。

デコード、復号、実行された後に、難読化ローダーは、APT32バックドアの1つをロードします。

これまで、BlackBerry Cylanceは、ステガノグラフィローダーと組み合わせて2つのバックドアが利用されていることを確認しました。これは、Denesバックドアの1バージョン(ESTによって説明されたバージョンに似ています)とRemyバックドアの更新バージョンです。

しかし、脅威アクターは、他の悪意あるペイロードを配布するために、これを簡単に変更することができます。シェルコードとローダーの複雑さは、このグループがカスタムツールの開発に引き続き多額の投資をしていることを示しています。

この新しいホワイトペーパー(英語版)では、2つの異なるローダーの亜種で利用されたステガノグラフィアルゴリズムについて説明し、「.pngカバー画像」の1つにエンコードされたバックドアのランチャーを検証します。

レポート全文のダウンロードはこちらから

Tags: