Quantum Builder はダーク Web で提供されており、リモート アクセス トロイの木馬 (RAT) Agent Tesla のさまざまな亜種が配布されています。 全体として、マルウェアは LNK ファイル (Windows ショートカット) に依存してトロイの木馬を拡散します。 サイバー犯罪パートナー向けのサービス パッケージもあります。
Agent Tesla は、2014 年以来、.NET ベースのキーロガーおよびリモート アクセス トロイの木馬 (RAT) であり、現在、「Quantum Builder」と呼ばれるダーク Web で販売されているビルダーを介して配布されています。 Zscaler ThreatlabZ チームのセキュリティ研究者は、現在のキャンペーンを調査し、進化を特定しました。 マルウェアの作成者は現在、LNK ファイル (Windows ショートカット) に依存してペイロードを増殖させており、その作成には Quantum Builder (別名「Quantum Lnk Builder」) が使用されています。 このビルダーは、RedLine Stealer、IcedID、GuLoader、RemcosRAT、および AsyncRAT に関連するキャンペーンですでに証明されています。
悪意のある Windows ショートカット – LNK
現在のキャンペーンでは、攻撃者は Quantum Builder を使用して悪意のある LNK、HTA、および PowerShell ペイロードを生成し、エージェント テスラが標的のマシンにプッシュします。 ビルダーによって生成されたペイロードは、Microsoft 接続マネージャー プロファイル インストーラー (CMSTP) バイナリを使用した UAC バイパスなどの高度な技術を使用して、最終的なペイロードを管理者特権で実行し、Windows Defender をバイパスします。 さまざまな攻撃ベクトルを LOLBin に統合する、多段階の感染チェーンが使用されます。 検出を回避するために、PowerShell スクリプトはメモリ内で実行されます。 さらに、被害者は、さまざまな欺瞞的な操作によって感染から気をそらされます。
スピアフィッシングメールから始める
感染の連鎖は、GZIP アーカイブ形式の LNK ファイルを含むスピア フィッシング メールから始まります。 LNK ファイルを実行した後、埋め込まれた PowerShell コードが MSHTA を呼び出し、リモート サーバーでホストされている HTA ファイルを実行します。 次に、HTA ファイルは PowerShell ローダー スクリプトを復号化し、AES 復号化と GZIP 解凍を実行した後、別の PowerShell スクリプトを復号化してロードします。 復号化された PowerShell スクリプトは Downloader PS スクリプトであり、最初に Agent Tesla バイナリをリモート サーバーからダウンロードし、CMSTP で UAC バイパスを実行して管理者権限で実行します。
ビルダーは、おとり、UAC プロンプト、メモリ内 PowerShell などの手法も使用して、最終的なペイロードを実行します。 これらはすべて常に更新されているため、マルウェア開発者によるサービス パックです。
サイバー犯罪パートナー向けのサービス パッケージ
攻撃者は、関連するダーク Web サイバー犯罪市場で販売されているマルウェア「ビルダー」などのソフトウェアを使用して、常に戦術を進化させています。 Agent Tesla キャンペーンは、Quantum Builder を使用して反組織キャンペーンで悪意のあるペイロードを作成した一連の同様の構造の活動の最新のものです。 使用される手法は、マルウェアの開発者によって定期的に更新され、新しいセキュリティ メカニズムに適応されます。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。