ビジネス システム上にあるかパーソナル コンピュータ上にあるかを判別する機能を備えた危険な新しいマルウェア ローダーが、過去数か月にわたって世界中のシステムに急速に感染し始めています。
VMware Carbon Black の研究者は、BatLoader と呼ばれるこの脅威を追跡しており、そのオペレーターがこのドロッパーを使用して、バンキング型トロイの木馬、情報窃盗プログラム、Cobalt Strike ポスト エクスプロイト ツールキットなどのさまざまなマルウェア ツールを被害者のシステムに配布していると述べています。 攻撃者の戦術は、侵害された Web サイトでマルウェアをホストし、検索エンジン最適化 (SEO) ポイズニング手法を使用してユーザーをそれらのサイトに誘導することでした。
土地から離れて暮らす
BatLoader は、バッチ スクリプトと PowerShell スクリプトに大きく依存して、被害者のマシンに最初の足場を築き、他のマルウェアをそこにダウンロードします。 これにより、キャンペーンが行われました 検出とブロックが困難特に初期段階では、VMware Carbon Black の Managed Detection and Response (MDR) チームのアナリストは、14 月 XNUMX 日にリリースされたレポートで次のように述べています。
VMware によると、同社の Carbon Black MDR チームは、過去 43 日間で 90 件の感染の成功を観察したほか、被害者が最初の感染ファイルをダウンロードしたが、実行しなかったという多数の失敗した試みを観察した. 被害者のうち XNUMX 人はビジネス サービス部門の組織、XNUMX 人は金融サービス企業、XNUMX 人は製造業でした。 その他の被害者には、教育、小売、IT、および医療セクターの組織が含まれていました。
9 月 XNUMX 日、eSentire の脅威ハンティング チームは、BatLoader のオペレーターが、LogMeIn、Zoom、TeamViewer、AnyDesk などの一般的なビジネス ソフトウェアのダウンロード ページになりすました Web サイトに被害者を誘い込むのを観察したと述べました。 攻撃者はこれらの Web サイトへのリンクを配布しました 検索エンジンの結果に目立つように表示された広告を介して ユーザーがこれらのソフトウェア製品のいずれかを検索したとき。
セキュリティ ベンダーによると、XNUMX 月下旬のある事件では、eSentire の顧客が偽の LogMeIn ダウンロード ページにアクセスし、Windows インストーラーをダウンロードしました。このインストーラーは、とりわけ、システムのプロファイルを作成し、その情報を使用して第 XNUMX 段階のペイロードを取得します。
eSentire の TRU 調査チームの調査およびレポート リーダーである Keegan Keplinger は、次のように述べています。 「その後、状況に適した種類のマルウェアをドロップします。」
選択的なペイロード配信
たとえば、BatLoader がパーソナル コンピューターを攻撃すると、Ursnif バンキング マルウェアと Vidar 情報スティーラーをダウンロードします。 ドメインに参加しているコンピューターまたは企業のコンピューターに到達すると、バンキング型トロイの木馬と情報窃盗プログラムに加えて、Cobalt Strike と Syncro リモート監視および管理ツールをダウンロードします。
「BatLoader がパーソナル コンピューターに到達すると、詐欺、情報盗用、および Ursnif のような銀行ベースのペイロードを実行します」と Keegan 氏は言います。 「BatLoader が組織環境にあることを検出すると、Cobalt Strike や Syncro などの侵入ツールを使用します。」
Keegan 氏によると、eSentire は、BatLoader が関与する最近のサイバー攻撃を「多く」観察しています。 ほとんどの攻撃は日和見的であり、信頼できる人気のあるフリー ソフトウェア ツールを探している人なら誰でも攻撃します。
「組織の前に出るために、BatLoader は有害な広告を利用して、従業員が LogMeIn や Zoom などの信頼できるフリー ソフトウェアを探しているときに、代わりに攻撃者によって制御されているサイトに着陸し、BatLoader を配信します。」
Conti、ZLoaderと重複
VMware Carbon Black によると、BatLoader キャンペーンには独自の側面がいくつかありますが、攻撃チェーンには、 Conti ランサムウェアの操作.
重複には、Log4j の脆弱性を悪用するキャンペーンで Conti グループが使用した IP アドレスと、Conti が以前の操作で使用した Atera と呼ばれるリモート管理ツールの使用が含まれます。
Conti との類似点に加えて、BatLoader にはいくつかのオーバーラップがあります。 バンキング型トロイの木馬 Zloader これは、2000 年代初頭の Zeus バンキング型トロイの木馬から派生したものと思われる、とセキュリティ ベンダーは述べています。 これらの最大の類似点には、SEO ポイズニングを使用して被害者をマルウェアを含む Web サイトにおびき寄せること、最初の足場を確立するために Windows インストーラーを使用すること、および攻撃チェーンで PowerShell、バッチ スクリプト、およびその他のネイティブ OS バイナリを使用することが含まれます。
Mandiant は、BatLoader について最初に報告した企業です。 XNUMX 月のブログ投稿で、セキュリティ ベンダーは、「無料の生産性アプリのインストール」と「無料のソフトウェア開発ツールのインストール」のテーマを SEO キーワードとして使用して、ユーザーをダウンロード サイトに誘導する脅威アクターを観察したと報告しました。
「この BatLoader の最初の侵害は、 多段階の感染連鎖の始まり これにより、攻撃者は標的の組織内に足場を築くことができます」と Mandiant 氏は述べています。 攻撃者は、検出を回避するために、PowerShell、Msiexec.exe、Mshta.exe などのツールを使用して攻撃チェーンの次の段階を設定するために、すべての段階を使用しました。
