新しいJavaSquidマルウェア・ファミリー

このような初期侵害のテクニックは、このキャンペーンの背後にいる脅威アクターが日和見的な感染を求めていること、したがって金銭的な動機で行動している可能性が高いこと、潜在的にはIAB（Initial Access Broker）として行動している可能性があることを示している。提出されたサンプルのロケーションから、キャンペーンのターゲットは主にヨーロッパである可能性が高い。 

被害者を騙し、マルウェアを提供するために使用される水飲み場のドメインは、Cloudflareによって保護されている。しかし、彼らのマルウェアサンプルは、他の多くのドメインからも指されるIPアドレスに解決する別のドメインに接触する。同じIPアドレスを指す異なるドメインの多くは、AI技術による誘い出しや他社へのなりすましにも関連しているようだ。  

興味深いことに、我々のOSINT調査によると、このC2 IPアドレスは以前、LummaとPoseidonのステーラーに関連していた。Lummaステラーが古いMarsステラーをベースにしていると報告されている一方で、Poseidonはごく最近発見されたAppleScriptで書かれたマルウェア・ファミリーであるため、iOS環境を標的としています。この新しいファミリーがJavaScriptで書かれているという事実は、この活動の背後にいる脅威行為者が、異なる環境で使用できるスクリプト言語に切り替えている可能性を示している可能性がある。もう1つ注目すべき点は、IPアドレスが中国のISP（Chang Way Technologies Co. Limited）に属している一方で、ホストの所在地がロシア連邦内にあるという事実です。 

最初のマルウェアサンプルは、我々が最初に分析した時点（2024年11月9日）では有効なデジタル署名を持っていました。 しかし、私たちの調査中に、それがすでに失効していることが確認されました。 

当社のSandbox ハンティングエンジンを使って類似のサンプルを調査していたところ、盗まれた可能性が高い同じ電子証明書を使用した同じファミリーのサンプルセットを発見しましたが、同時に2つの新しいサンプルセットも発見しました。そのうちの1セットには電子署名がなく、もう1セットには別の電子証明書が使用されていました。すべてのサンプルは、異なる与えられた名前（ai_Generation.exe、sweethome3d.exe、Installer_capcut_pro_x64.exe...）に基づいて、正当なユーティリティツールのふりをする同じパターンと手法に従いました。 

The PE is compiled JavaScript malware, using the pkg tool to turn the JavaScript code into a Windows PE. Compiled JavaScript appears to be on the rise within the threat landscape, as recently reported by the other researchers. The mentioned tool packages a JavaScript payload into a Windows PE by embedding a Node JS/V8 interpreter with the option of compiling the code into V8 bytecode, hence embedding into the PE either the plaintext code or a JavaScript Compiled bytecode. The plaintext version extraction is trivial in most cases, though, MetaDefender Aether can extract the compiled code as a JSC (JavaScript Compiled file) and disassemble for later further analysis. 

The JavaScript payload holds the relevant payload base64 encoded, decodes it, and executes it using the eval function. This decoded payload starts by running a quick RAM size check, likely to avoid executing on analysis environments. While many traditional sandboxes would not pass through this check, MetaDefender Aether performs deeper analysis of all the JavaScript code, allowing the trigger of relevant indicators. 

チェックが通ると、サンプルはgoogleカレンダーのイベントURLへのHTTPリクエストを実行し、その記述にbase64形式の2つ目のURLを格納する。 

デコードされたURLは攻撃者がコントロールするドメインを指し、対応するリクエストの後に新しいbase64ペイロードを提供する。新しいJavaScriptペイロードをデコードすると、eval関数を使って即座に実行される。この追加のJavaScriptコードは、AES暗号化を使ってハードコードされた追加レイヤーのペイロードを解読し、実行する。  

興味深いことに、IVとAESの鍵は最後のHTTPリクエストのレスポンス・ヘッダから取得されるが、このヘッダはリクエストごとに異なることが確認されている。つまり、C2へのリクエストごとに、異なる鍵で復号化されるペイロードとヘッダが動的に作成される。さらに、復号化されたペイロードは常に同じように見えるが、異なる難読化が施されており、暗号化だけでなく難読化もリクエストごとに動的に行われていることが明らかになった。 このテクニックは、インシデント発生時のフォレンジック分析や脅威研究の妨げになるだけでなく、難読化がリクエストごとに異なるため、シグネチャベースの検出を回避することもできる。 

この新しく復号化されたモジュールは高度に難読化されており、主にadmモジュールを使ったファイル操作とzip機能を扱うための追加ライブラリのコードを追加することで、サンプルに多くの機能をもたらしている。さらに、ランダムな命名を使って、異なるサブディレクトリ%appdata%Localに異なるファイルをドロップする。 

ドロップされたファイルの1つはrun.ps1というPowerShellスクリプトで、初期にコンパイルされたJavaScriptペイロードの代わりに、インストールされたNodeJSを使用して最終的なJavaScriptペイロードを後で起動するためのNodeJS MSIインストーラをインストールするコードを含んでいます。 

この時点で、実行はポップアップの形でユーザーにエラーメッセージを表示し、被害者を期待された「AIソフトウェア」（ProAI.exe）がシステム上で実行できないかもしれないと思わせ、進行中のJavaSquid感染から注意をそらす。この後段のJavaScriptペイロードは、googleカレンダーに接触するのと同じメカニズムを使って最後のJavaScriptファイルをダウンロードし、HTTPレスポンスヘッダを使って制御ドメインに接触し、最終的に提供されるペイロードを復号化する。今回、最終的なペイロードは、%appdata%/Romaingディレクトリ内のランダムな名前のディレクトリにindex.jsとして保存されます。 

以前のrun.ps1ファイルは、後で同じ名前を使った別のPowerShellスクリプトに置き換えられ、またすぐに実行される。スクリーンショットからわかるように、このスクリプトはマシン上で永続性を得るために使用されているだけで、主なマルウェアのコードはindex.jsに書かれている。 

マルウェアによってドロップされた追加ファイル： 

• VeqVMR.zip（ランダムに生成された名前）：同じC2からダウンロード。メモ帳のインストーラー（npp.8.6.6.Installer.exe）のみが含まれており、全体的な動作に影響はないようだ。 
• bypass.ps1：前述のrun.ps1を実行するために使用され、powershellスクリプトの実行制限をバイパスする。 
• NiOihmgUci.msi（ランダムに生成された名前）：公式ウェブサイトから取得したnodejsインストーラー。 
• Update.lnk：スタートアップフォルダにドロップされ、PowerShellスクリプトrun.ps1を指す。