主な調査結果

• 新種のマルウェア群：サイバーリーズンのNocturnusチームでは、2020年4月に出現し、その後も進化を続けてきた、Bazarと呼ばれる新種のローダー/バックドアの追跡を行っています。Bazarは、追加のマルウェアやランサムウェアを展開し、最終的に組織から機密データを窃取するために使用されます。
• 標的は米国と欧州：Bazarマルウェアの感染は、特に、米国と欧州のプロフェッショナルサービス業、医療、製造業、IT業、物流業、旅行業の企業を標的にしています。
• ローダー機能とバックドア機能を装備：Bazarは、Twilio SendGridというメールプラットフォームと署名付きローダーファイルを利用し、持続性を確立するためのファイルレスバックドアと連携して従来のセキュリティソフトウェアを回避します。
• 開発継続中：この調査中もBazarが開発活動中であることは明白です。最近では、活発なキャンペーンが消えたあとで新バージョンが出現しています。これは、今なお開発中であることの表れです。
• 回避的な難読化ファイルレスマルウェア： このステルスローダーは、以前のTrickbotローダーと同様に、認証局の信頼を悪用することで検出を回避します。ただし、このローダーはコマンドと制御にEmerDNS（.bazar）ドメインを使用し、非常に難読化されています。また、自動分析および手動分析を阻止するアンチ分析技術を使用し、暗号化されたバックドアをメモリにのみロードします。
• 2か月後の復活：2か月の中断を経て、ステルス機能が向上した新しい亜種が6月中旬に出現しました。これは、他のサイバー犯罪組織一般、特にTrickbotの手口と似ています。
• Trickbotとのつながり：ローダーは以前のTrickbotキャンペーンに結びつく振る舞いを示しています。AnchorとBazarマルウェアの間には、clientID生成の違いなど、いくつかの変更点がありますが、C2という同じトップレベルのBazarドメインを共有しています。TrickbotやAnchorとは異なり、Bazarローダー/バックドアは、ボットコールバックでキャンペーンとボットの情報を分離します。これらの結びつきとBazarの進化の速さは、攻撃者による次世代のマルウェア攻撃を示唆している可能性があります。

概要

2020年4月以降、サイバーリーズンのNocturnusチームは、感染したマシンに関するデータの収集と追加のマルウェアの展開に使用されるローダー/バックドアであるBazarマルウェアの出現を調査してきました。

この分析は、進行中のコロナウイルスの感染拡大、従業員の給与支払報告書、顧客のクレームに乗じたフィッシングメールを介して、Bazarマルウェアが送信されることを示しています。

Bazarマルウェアは、2019年12月からのTrickbot-Anchor連携に見られたものに似た、Trickbotキャンペーンとの強いつながりがあるように見受けられます。さらに調査を進めると、同じ感染チェーンが通常のTrickbotダウンローダーの代わりにBazarローダーを配信していることが明らかになりました。

BazarローダーとBazarバックドアという名前は、EmerDNSブロックチェーンドメインを使用していることに由来します。Bazarドメインはボットネット通信を妨害するテイクダウンやシンクホールを回避できるため、最近はサイバー犯罪者の間でBazarドメインの使用が流行しています。

Bazarローダーは攻撃者に環境への最初の足掛かりを与え、Bazarバックドアは持続性を確立します。ローダーとバックドアを組み合わせることで、脅威アクターは、ランサムウェアなどの他のペイロードやCobaltStrikeなどの悪用されたフレームワークを展開したり、感染したマシンからデータを漏洩させたりコマンドをリモートで実行したりすることが可能になります。Bazarバックドアは、事業継続の中断、データ漏洩、全面的な危殆化につながり、組織への信頼を損なう可能性があります。

Bazarバックドアとそのローダーにはいくつかの異なるバージョンがあり、このマルウェアが開発中であることがわかります。本稿では、2019年からのTrickbot-Anchor連携と同様のTrickbot連携とのつながりを示す要素とともに、Bazarのローダー/バックドア機能を分析しています。最近の再出現の調査結果から、Bazarローダーが特に回避的であることが判明したため、この分析では主にBazarローダーに焦点を当てます。

フィッシングメールのリンクからスタートするBazarローダーの感染チェーン

感染ベクター

フィッシングメールの悪意のあるリンクを介して配信されたBazarローダーの感染

悪意のある添付ファイルを使用してMicrosoft Officeマクロを起動し、TrickbotをダウンロードするというTrickbotキャンペーンが一般的ですが、このキャンペーンは、まず、Sendgridメールマーケティングプラットフォームを使用して送信されたフィッシングメールを介して、ホストにBazarローダーを感染させます。これらのメールには、Google Docsでホストされている文書プレビュー用の囮のランディングページへのリンクが記載されています。

Google Docsのリンクを含むSendgridメールマーケティングを介して送信されたコロナウイルスのフィッシングメール

Google Docsのランディングページにアクセスすると、ファイルをダウンロードするよう促されます。ユーザーを信用させてファイルを手動でダウンロードさせるために、ページには文書のプレビューが利用できないと表示されています。

Bazarローダーのペイロード取得と感染後のnet.exeコマンド

Bazarローダーファイルは、VB CORPORATE PTY.LTDなどの偽の証明書で署名された2重拡張子の実行可能ファイル（PreviewReport.DOC.exeなど）です。

これは、署名付きローダーとマルウェアを使用してセキュリティ製品による検出を回避することで認証局の信頼を悪用する、悪名高いTrickbot集団と一致しています。

署名付きマルウェアはTrickbot-Anchor感染で見られたもので、コードサイニング証明書の取得が容易でセキュリティ製品を回避する効果があるため、今後のキャンペーンでも引き続き役割を果たす見込みです。

TrickbotとBazarローダーの署名付きファイル

ローダーとバックドアの分析

サイバーリーズンのNocturnusチームでは、Bazarローダー/バックドアの開発バージョンと運用バージョンの両方を分析しました。本稿ではこれら2つのバージョンを区別するために、開発バージョンは「Team9」、運用バージョンは「Bazar」という名称にしました。

Team9ローダーを最初に調査し、その後、運用バージョンのBazarローダーの分析を行います。最後に、Team9バックドアであるマルウェアの初期開発バージョンを分析します。開発の進行に伴うローダーとバックドアのバージョン間の変更点を次の表にまとめました。

■ローダーの情報

ローダーのバージョン	作成日	ミューテックス	ログファイル （存在する場合）
開発バージョン1	4月9日	なし	ld_debuglog.txt
運用バージョンのローダー	3月27日～4月20日	ld_201127	なし
新しい運用バージョンのローダー	6月12日～6月18日	ld_201127	なし

■バックドアの情報

バックドアのバージョン	作成日	ミューテックス	ログファイル （存在する場合）
開発バージョン1	4月7日～9日	MSCTF.[botID]	bd_debuglog.txt
開発バージョン2	4月16日～22日	{589b7a4a-3776-4e82-8e7d-435471a6c03c} AND {517f1c3d-ffc0-4678-a4c0-6ab759e97501}	dl2.log
開発バージョン2.1	4月17日～23日	{589b7a4a-3776-4e82-8e7d-435471a6c03c}	bd2.log
運用バージョンのバックドア	3月27日～4月22日	mn_185445	なし

初期開発ローダー（Team9）

「team9 loader」という文字列を含むローダーの開発バージョンを調査したところ、このローダーはリモートサーバーからXORエンコードされたペイロードをダウンロードし、プロセスの空洞化またはプロセスドッペルギャンギングというインジェクション技術を用いてペイロードをデコードして標的のプロセスに注入しています。

Bazarバックドアをダウンロードするために、ローダーは、暗号化された形式でペイロードを感染したマシンに送信するリモートサーバーと通信します。最初の調査では、ペイロードは有効なPEヘッダーを示していませんでした。

Team9ローダーのサンプルを逆にすると、感染日付のXORキーがYYYYMMDD（ISO 8601）の形式で示されます。

ペイロードを復号化するシステム時刻の取得

バイトごとの復号化を担当するループを次の図に示します。

日付と時刻の復号化ループ

このレポートの後半で示すように、難読化・圧縮バージョンも上記と同じメカニズムを共有しています。このバージョンのローダーは、CurrentVersion\Runに単純な自動実行キーを作成し、BackUp Mgrに偽装します。

Team9ローダーによって作成された自動実行キー

ペイロードが適切なPEヘッダーで正しくデコードされると、ペイロードが検証されてメモリに注入されます。このプロセスはマルウェアのログで確認することができます。

Bazarローダーの感染活動を示すログファイル（ld_debug.txt）の内容

デバッグ文字列はログファイル「ld_debuglog」におけるBazarローダーの実行とペイロードの取得ステータスを表し、PEファイルの署名の検証と自己削除機能を示します。

このバージョンは、ハードコードされた「admin」ユーザーフォルダにデバッグログを配置します。

Bazarローダー/バックドアのデバッグログ

運用バージョンのBazarローダー

難読化・圧縮バージョンのローダーでは、コードインジェクションを容易にするために、一般的でないAPI呼び出しが使用されます。

下図に示すように、ローダーはVirtualAllocExNumaを使用して新しいメモリを割り当て、返されたベースアドレスを格納します。難読化されたシェルコードの先頭は、RC4アルゴリズムを使用して復号化された後でこのアドレスにコピーされます。シェルコードのほかに、追加のPEがメモリに見られます。

メモリ割り当てとシェルコード復号化の呼び出し

Bazarローダーは、RC4キーを開くために使用されるRSA2キーも格納します。

ローダーのメモリに見られるRSA2 BLOB

「decrypt_shellcode_and_mz」関数のコードを見ると、それが以前のTrickbotの亜種およびTrickBoosterで使用されているものと非常によく似ていることがわかります。

シェルコード復号化ルーチン

RSA2キーがキーBLOBからインポートされた後、RC4キーがRC4 BLOBにロードされます。これはデフォルトでリトルエンディアン形式になっているため反転され、最終的に末尾のゼロバイトが追加されます。これはキーの重要部分となります。

ロードされたキーを含むRC4 BLOB

データが復号化されると、比較的短いシェルコードがMZバイトの前に置かれます。

復号化されたシェルコードとPE

以前に割り当てられたメモリにコピーされたこのコードは、LoadLibraryA、GetProcAddress、VirtualAlloc、VirtualProtectなど、すべてがAPIの解決と追加のPEを実行するためのメモリ割り当てに使用される、いくつかの重要なAPI呼び出しの難読化を実行時に解除します。

シェルコードローダーによるAPIの解決

このコードは、すぐに実行されるPEにさらにAPIをロードしてから、最終的にPEエントリポイントにジャンプします。

シェルコードローダーによるPEのAPIの解決

ロードされたPEに足を踏み入れると、Bazarローダーは、感染したマシンにロシア語がインストールされているかどうかをチェックすることで、ロシアのユーザーを標的から除外しようとします。

setlocaleを呼び出し、各文字に0xf4を追加して「Russia」文字列の難読化を解除し、最後にStrStrAを解決して呼び出し、「Russia」が現在のロケールのサブ文字列かどうかを確認します。

「Russia」が現在のロケールのサブ文字列であれば、ローダーは停止します。Bazarバックドアもこのステップを繰り返します。

実行するかどうかを判断するためのロシア語のチェック

一般に、PEは非常に難読化されています。専用メソッドで実行時に追加の文字列とAPI呼び出しを解決するため、PEの分析はさらに困難です。

.bazarドメインの解決を担当するメソッドの例を以下に示します。難読化された文字列を読み込み、ドメイン名の1文字目を残りの文字列のXORキーとして使用して難読化を解除します。

.bazarドメインの難読化の解除

ミューテックス名は難読化解除されてからコピーされ、「ld_201127」という名前でCreateMutexExAに渡されます。

ミューテックスの作成

BazarローダーがそのペイロードであるBazarバックドアをダウンロードすると、前述のTeam9バージョンと同じメソッドを使用して復号化されます。

ダウンロードしたペイロードの復号化

最後に、ローダーは、復号化が正常に行われたかどうかをPEヘッダーで検証し、次のステップであるプロセスの空洞化によるコードインジェクションに進みます。

ダウンロードされたペイロードのシステム時間の取得、復号化、およびヘッダーのチェック

ローダーは、開発バージョンと同様の機能であるsvchost、explorer、cmdという3つの異なるプロセスを試行します。

上記のプロセスの1つへのコードインジェクションが成功すると、ローダーはいくつかのメソッドを使用して被害者のマシンから自動実行します。これは、コードがまだ完成していないことを意味します。

確実に自動実行しようとするBazarローダー

最初に、ローダーはAdobeに偽装したStartAd – Adという名前のスケジュールされたタスクを作成します。他のサンプルは、ここで分析しているMS Wordの亜種と同様の2重拡張子（.PDF.exe）を持つ囮のAdobeアイコンを使用しています。

taskschd.dllを使用したスケジュールされたタスクの作成

さらなる策略のため、作者はAdobeとしても設定されています。

タスクスケジューラに表示される作成済みタスク

スケジュールされたタスクのセットアップ後に、BazarローダーはRegSetValueExAを使用して自分自身をHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonに書き込みます。

そうすることで、ローダーはシステムログオンのたびに実行できるようになります。

userinitから自動実行するマルウェアの書き込み

Bazarローダーは、WindowsのStart MenuのStartupフォルダにadobe.lnkというショートカットを書き込むことで、別の自動実行エントリを作成します。

StartupフォルダへのBazarローダーの書き込み

最後に、自動実行のオーバーキル処理が十分でなかった場合、マルウェアはSHGetSpecialFolderPathWというAPI呼び出しを使用してユーザーのデスクトップを掌握し、ショートカットがローダー自体を指すようにします。

各ショートカットの場所を開き、アプリケーション名の先頭にアンダースコアを付けてターゲットの名前を変更し、最終的に、それ自体を元のアプリケーション名に変更して宛先フォルダにコピーします。

ローダーの別のコピーを実行できるようにするため、正規のFirefoxアプリケーションを改変

たとえば、上記のスクリーンショットは、_firefox.exeが元のアプリケーションであり、firefox.exeが実際にはBazarローダーのコピーであることを示しています。これは、ファイルのハッシュを取得した後に確認されます。

悪意のあるローダーのコピーと正規のFirefoxアプリケーションのハッシング

もう1つ、さらに暗号化されたデータを含む.bin拡張子が付いた小さなバイナリファイルがフォルダに作成されます。

新しい運用バージョンのBazarローダー

2020年6月の初めにBazarローダーの新バージョンが出現しました。VirusTotalに送信されたファイルは、「RESURS-RM OOO」という同じ偽の証明書を共有しています。

一部の機能は以前の運用バージョンと同様（ミューテックス、ダウンロードされたペイロード復号化ルーチン、持続性メカニズムなど）ですが、この新バージョンにはいくつかの新機能があります。

注目すべき機能の1つは、最近では新しいTrickbotの亜種にも見られた、APIハマリングという回避技術です。

このケースではprintfを1550回呼び出していますが、サンドボックス分析ではAPI呼び出しがログに記録されるので、これは、ジャンクデータでサンドボックス分析に過負荷をかけて実行を遅らせることを目的としています。

BazarローダーのAPIハマリング技術

新バージョンのもう1つの顕著な違いは、初期シェルコード復号化ルーチンの変更ですが、これにはありふれたVirtualAllocExNumaルーチンを使用しています。

シェルコード復号化の初期ルーチン

このバージョンは、次のキーを持つカスタムRC4アルゴリズムと考えられるものを使用しています。

シェルコードの復号化に使用されるキー

コードが復号化されると、実際にはその中に2つのペイロードがあることが明らかになります。1つ目のペイロードは、2つ目のDLLペイロードのローダーとして機能します。

エクスポート関数「StartFunc」を使用して2つ目のPEをロードする1つ目のPE

オフセット0x180004000が2つ目のDLLを保持します。

2つ目のDLL

2つ目のDLLがロードされると、そのDLLのStartFuncがGetMessageAを呼び出してループを開始し、Windowsメッセージを取得してメインアクティビティメソッドを実行します。

StartFuncのメインアクティビティメソッド

もう1つの興味深い発見は、Bazarローダーが現在の日付をシードとして使用するドメイン生成アルゴリズムを実装していることです。監視を行った実際の事例ではIPが直接接続されていたため、現時点ではむしろバックアップのようです。

BazarローダーのDGA実装

生成されたすべてのドメインにbazarというサフィックスが付けられています。

生成されたBazarのドメイン

その他のマイナーな（ただし検出には重要な）変更点は次のとおりです。

• HTTPSのみを使用したC2への接続
• User-Agent名がdbcutwqまたはuser_agentに変更
• 新しいCookie：group=1
• マシン上のマルウェアの存在を確認するために使用されていたサフィックス_lyrtが_fgqwに変更

初期開発バックドア（Team9）

サイバーリーズンのNocturnusチームは、今年4月上旬以降、このバックドアの3つのバージョンを特定しました。その手口に大きな違いはなく、ミューテックスと難読化のレベルによって区別することができます。

感染したマシンから収集したデータは、ALG_IDを0x8003に設定してからミューテックス名に追加することにより、CryptCreateHash API呼び出しのMD5アルゴリズムを使用してハッシングされます。

感染したマシンに関するデータの収集とハッシング

データの収集に成功すると、BazarバックドアはC2サーバーに接続します。接続できなかった場合は再試行を続けます。

このバージョンのもう1つの興味深い側面は、サーバーからデータをフェッチするためにローカルアドレスを使用する方法です。

これが初期開発バージョンであることを考えると、作者はこのメソッドをテスト目的で使用している可能性があります。

Bazar作者のテスト環境と推測されるもの

データ収集とC2サーバーへの接続に成功すると、バックドアはHTTP応答で受信したコマンドを構文解析します。コマンドの各文字は、生成されたMD5文字列の次の文字とXORされます。

C2から取得したコマンドとマシンIDハッシュのXOR

XORしたデータをチェックして構文解析した後、バックドアは取得したコマンドをログに記録し、下記のswitch caseに従って実行します。

C2サーバーから受信したコマンドのswitch case

上記の画像にあるように、Bazarバックドアはかなりの数のコマンドを処理できます。この次のセクションでは、感染したマシンのさまざまな追加情報を取得するcase 1に焦点を当てます。

C2サーバーから値1を受信して応答が構文解析されると、実行のために値が関連するメソッドにマップされます。

メモリ内のメソッドとマップされた値

この例で値1に対応するメソッドは0x3fab15b0です。このメソッドは、パブリックIPアドレス、コンピューター名、インストールされているWindowsのバージョンなどの追加データを感染したマシンから収集します。

感染したマシンに関する追加情報の収集

その後、WMIクエリを実行して、マシンにインストールされているウイルス対策エンジンに関する情報を取得します。

インストールされているウイルス対策エンジンに関する情報を取得するWMIクエリ

また、Bazarローダーは、Windows\CurrentVersion\Uninstallレジストリキーを使用して、インストールされているアプリケーションのリストを取得します。

マシンにインストールされているプログラムの照会

最後に、ローダーはcmd.exeを生成して、ネットワークとドメインに関する情報を取得するための一連の偵察コマンドを実行します。

netおよびnltestツールを実行するcmd.exe

このマルウェアは開発バージョンであるため、上記のデータのほとんどはログに詳細に記録されています。

Team9バックドアのログ

その後のネットワーク通信には、2019年からのAnchorキャンペーンに使用されているクライアントIDを連想させるハッシュ形式のボットID、MD5ハッシュ値が使用されます。

以前のAnchorの感染に見られたように、Anchorの一意の識別子は次のパターンに従って生成されます。

[Machine_NAME]_[Windows_Version].[Client_ID]

マシンがAnchorに感染すると、AnchorはopenNICリゾルバーを使用して、toexample[dot]bazarなどのBazarドメインを解決します。その後、以下の情報を含むボットのコールバックを下記の形式でリモートサーバーに送信します。

[campaign]/[Machine_NAME]_[Windows_Version].[Client_ID]/[switch]/

一方、生成されるBazarボットIDは、コンピューター名、システムフォルダの作成日、およびシステムドライブのシリアル番号で構成されるMD5ハッシュです。

BazarボットIDは、次のようなホスト情報で構成されるMD5ハッシュです。

• [ASCII形式の%WINDIR%の作成日]
• [ASCII形式の%WINDIR%\system32の作成日]
• [NETBIOS_Name]
• [%SYSTEMDRIVE%シリアル番号]

Bazarバックドアの通信は、botIDと数値のコマンドスイッチというパターンに従います。

[botID]/[switch]

感染したホストからBazarドメインへのバックドアのコールバックは、botIDを使用し、新しいタスクの受信待機時はコマンドスイッチ「2」を使用します。

感染したホストから一意のbotIDを持つ.bazarドメインへのネットワーク通信

Bazarバックドアは、botIDおよびデータ送信またはコマンド受信のためのスイッチと共に、「グループ」識別子をリモートサーバーに送信します。

2020年5月の時点で2つのハードコーディングされたグループがありました。

これらのバックドアは、Cookieグループ文字列「two」および「five」に関連付けられています。一方、新しいローダーはCookieグループ文字列「1」に関連付けられています。

HTTPリクエストの「Cookie」パラメーターを介して送信されたBazarバックドアの「グループ」識別子

URI文字列はTrickbotおよびAnchorの亜種から変更されていますが、フィッシングの戦術と感染後の偵察コマンドの使用は同じです。

Bazarバックドアでは、Trickbotキャンペーンの識別に使用されるタグ（またはgtag）がC2 URIから削除されます。

これは、CookieのHTTPヘッダーパラメータに移動した可能性があります。

Bazarでは、感染したマシン名とTrickbotキャンペーンIDが同じHTTPリクエストで送信されなくなっています。

その代わりに、ローダーの実行後に、クラウドでホストされているサーバーからバックドアを取得するために/api/v{rand}というURIが送信されます。

C2サーバーとクライアント間のバックドア通信は、感染したホストに割り当てられたbotIDを使用して.bazarドメインで行われます。

Bazar C2サーバーからのキャンペーンタグとクライアントマシン名の分離は、このバックドアに固有の特徴です。

ボット通信は感染が発見された直後に終了することが多いため、キャンペーンとクライアントマシン名をURIから削除すると、ダウンタイムが短縮され、マシンを再感染させる必要性が減少します。

Trickbotとのつながり

前述のように、BazarローダーとBazarバックドアは、署名付きのローダーを持つTrickbotおよびAnchorマルウェアとのつながりを示しています。これら3つの類似点は次のとおりです。

• 失効した証明書を使用してマルウェアに署名
• ドメインの再利用（例：machunion[.]comとbakedbuns[.]com）
• 同じWinAPIの使用、カスタムRC4実装、およびTrickbotでも使用されているAPIハンマリングがローダーの最新バージョンでも使用されている点など、BazarとTrickbotのローダー復号化ルーチンはほぼ同一
• .bazarドメインを使用したバックドアのコマンド&コントロール

このマルウェアがロシア語をサポートするマシンに感染しないという事実は、その起源と意図された標的への手がかりとなります。

Bazarローダーは、失効した証明書を使用して署名されています。以前の調査では、Trickbot集団が失効した証明書を使用して、証明書失効後最大6か月間、ファイルに署名していることが判明しています。これは、2020年1月に「VB CORPORATE PTY.LTD.」に対して発行された証明書の使用によって示されています。

12月からのAnchorキャンペーンも、プレビュー文書に関連するファイル名を持つ署名付きのTrickbotローダーファイルを使用していました。新バージョンのローダーで使用されている現在の失効した証明書は、「RESURS-RM OOO」によって発行されたものです。

さらに、これらの両方のキャンペーンで、同様のフィッシングメール戦術、Googleドライブの囮プレビュー、署名付きマルウェア、および不正なファイルアイコンの使用が確認されています。

以前にTrickbotローダーに使用されていた、不正アクセスされた可能性のあるドメインがBazarローダーのホストに再利用されていることも確認されています。

たとえば、ruths-brownies[dot]comというドメインは、1月にTrickbotキャンペーンで使用され、2020年4月にBazarローダーをホストしていました。

Bazarマルウェアは、TrickbotやAnchorとは異なる新しいコマンド&コントロールパターンとbotIDを使用していますが、両方のマルウェア群の痕跡を残しています。

最後になりますが、2019年12月からAnchorを配信しているTrickbot感染では、Emercoin（.bazar）ドメインの使用が確認されています。

結論

本稿では、BazarローダーおよびBazarバックドアとTrickbotの背後にいる脅威アクターの関連、ならびに2019年12月以降のAnchorとTrickbotに関する前回の調査との関連を解説しています。

サイバーリーズンでは、調査に基づき、新しいマルウェア群がTrickbotギャングの武器庫の中でも最新の巧妙化したツールであり、これまでのところ、価値の高い少数の標的を選択的に攻撃しているものと推定しています。

Bazarマルウェアは、回避性、ステルス性、持続性を重視しています。このマルウェアの作者は複数のバージョンを活発にテストし、コードをできるだけ難読化するとともに、最終的なペイロードを別のプロセスのコンテキストで実行しながら隠しています。

さらに検出を回避するために、Bazarローダー/バックドアは、以前に見られたTrickbot関連のマルウェアとは異なるネットワークコールバックのスキームを使用します。

感染後、マルウェアは脅威アクターにコマンドおよびコード実行のさまざまなオプションとともに、組み込みファイルアップロード機能や自己削除機能を提供します。

この多様性により、攻撃者は、データの抽出、標的マシンに対する別のペイロードのインストール、ネットワーク上での拡散をダイナミックに行うことができます。

一般に、オプションが多いほど、攻撃者は目標や被害者の環境の変化に適応できるようになります。

ブロックチェーンドメインを使用することから、BazarローダーとBazarバックドアは、EmerDNSドメインなどの代替ドメインネームシステムを利用する脅威群の一部として認識されています。

2019年12月の「Dropping The Anchor」で報告したように、これらの代替ドメインネームシステムはTrickbot Anchorキャンペーンでも使用されています。

これらのシステムは、ボットインフラストラクチャに検閲対策と削除に対する復元力を提供する、脅威アクターにとって極めて重宝なシステムです。

2020年4月にマルウェアの最初の亜種が出現した後、2020年6月に新しい亜種が発見されるまで、ほぼ2か月の休止期間がありました。

Bazarマルウェア群の進化に関する弊社の調査では、脅威アクターがコードを再調査して改良し、マルウェアをステルス化するのに時間がかかっていたことが明らかになっています。

Bazarの作者は、以前はハードコードされていた文字列、Trickbotの最近の亜種で観測済みのものに類似した既知のシェルコード復号化ルーチンの変更など、以前の亜種で最も検出されやすかった特性のいくつかを変更しました。

このマルウェアはまだ開発段階にありますが、サイバーリーズンでは、その最新の改良点と再浮上が、本稼働の準備が完全に整ったときに、新たな恐るべき脅威の発生を意味するのではないかと推測しています。

IoC（Indicators of Compromise：痕跡情報）

このキャンペーンのIOC（PDF）はこちらでご確認ください。

MITRE ATT&CK FOR MOBILEに基づくテクニックの分類

実行
・APIを介した実行

持続性
・スタートアップ項目
・レジストリ実行キー/スタートアップフォルダ

権限のエスカレーション
・スタートアップ項目
・プロセスインジェクション

防御の回避
・ファイルまたは情報の難読化解除/デコード
・偽装
・レジストリの変更
・難読化されたファイルまたは情報
・プロセスのドッペルギャンギング
・プロセスの空洞化
・プロセスインジェクション

検出
・アカウントの検出
・アプリケーションウィンドウの検出
・ファイルとディレクトリの検出
・プロセスの検出
・レジストリのクエリ
・リモートシステムの検出
・セキュリティソフトウェアの検出
・システム情報の検出
・システム時間の検出
・システム所有者/ユーザーの検出

抽出
・データの暗号化

コマンド&コントロール
・一般的に使用されるポート
・リモートファイルのコピー
・標準のアプリケーション層プロトコル
・標準の暗号化プロトコル
・標準の非アプリケーション層プロトコル

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/