脅威アクターは、BoxedAppなどの正規で商業的に利用可能なパッカーソフトウェアを悪用し、検出を回避し、リモートアクセストロイのようなマルウェアや情報窃取ツールを配布しています。Check Pointのセキュリティ研究者Jiri Vinopalによる分析によれば、「多くのマルウェアサンプルは、金融機関や政府機関を標的にしている」と述べられています。
イスラエルのサイバーセキュリティ企業によると、BoxedAppを使ってパックされたサンプルの数は2023年5月頃に急増し、主にトルコ、米国、ドイツ、フランス、ロシアからの送信が観測されました。
この方法で配布されるマルウェアファミリには、Agent Tesla、AsyncRAT、LockBit、LodaRAT、NanoCore、Neshta、NjRAT、Quasar RAT、Ramnit、RedLine、Remcos、RevengeRAT、XWorm、ZXShellなどが含まれます。
パッカーは、ソフトウェアをバンドルしてサイズを小さくするために使用される自己解凍アーカイブです。しかし、これらのツールは、解析に抵抗するために、脅威アクターによって再利用されるようになりました。
BoxedApp PackerやBxILMergeなどのBoxedApp製品の乱用が増加した理由は、エンドポイントセキュリティソフトウェアに検出されることなくマルウェアを展開することを目指す攻撃者にとって魅力的なオプションとされています。
BoxedApp Packerはネイティブおよび.NET PEsの両方をパックするために使用される一方、BxILMergeは.NETアプリケーションをパックするために使われます。
一方で、BoxedAppでパックされたアプリケーション(悪意のあるものも含む)は、一部の対マルウェアエンジンによるスキャン時に高い誤検知率(FP)を示していることが知られています。
「悪意のあるペイロードをパックすることで、攻撃者は既知の脅威の検出を低下させ、分析を困難にし、BoxedApp SDKの高度な機能(例:仮想ストレージ)を開発する必要なしに使用できます」とVinopal氏は述べています。
「BoxedApp SDK自体が、最も高度な機能を活用するカスタムでユニークなパッカーを作成する余地を開くため、静的検出を回避するのに十分多様である」とも述べています。
Agent Tesla、FormBook、LokiBot、Remcos、XLoaderなどのマルウェアファミリも、Nullsoft Scriptable Install System(NSIS)を利用した不正なパッカーであるNSIXloaderを使って拡散されています。異なるペイロードを提供するために使用されていることから、これはダークウェブで商品化および通貨化されているということを意味しています。
セキュリティ研究者のAlexey Bukhteyevは、「NSISを使用することで、最初から合法的なインストーラーと区別がつかないサンプルを作成できるため、サイバー犯罪者にとっての利点は大きい」と述べています。
「NSISは独自で圧縮を行うため、マルウェア開発者は圧縮および解凍アルゴリズムを実装する必要はありません。NSISのスクリプト機能により、一部の悪意のある機能をスクリプト内に転送することが可能であり、分析をより複雑にします」とも述べています。
この発展は、QiAnXin XLabチームが、WinntiやDarkMosquitoを含む複数の脅威アクターによってLinuxシステムを標的にするために使用されているKiteshieldというコードネームの別のパッカーに関する詳細を明らかにしたことと一致します。
「Kiteshieldは、Linux上のx86-64 ELFバイナリ用のパッカー/プロテクターです。Kiteshieldは、ELFバイナリを複数の暗号化レイヤで包み込み、それらを復号化し、マップし、ユーザスペースで完全に実行するローダーコードを挿入します。」
対ネット犯罪の最前線に立つ、世界最高水準のホワイトハッカー集団
Microsoft社やGoogle社などで活躍しているホワイトハッカー・エンジニアのコミュニティの中から国際認定を持ったサイバーセキュリティ専門家で結成されたのが、私たち「バイナリヤード」。
世界最高峰の技術力・豊富な実績をもったエンジニアチームが、お客様のシステムの脆弱性を的確に洗い出し、安心・安全のセキュリティ環境をご提案致します。