レジストリでペイロードを永続化するDarkWatchman

またもや新しいマルウェアが観測されています。
そしてこのマルウェアには新しい作戦が含まれていました。

マルウェアの配置した後、それをOS起動時に自動起動させる目的でレジストリが利用されることはよくあるように思われます。
しかし、DarkWatchmanのレジストリの利用はそれだけではありませんでした。
こんなことになっています。

• フィッシングメールを受信する
• メールにはテキストドキュメントのアイコンが設定された小さなファイルが添付されている
• そのファイルは、自己インストール型のWinRARアーカイブの形式になっている
• ファイルを開くと、JavaScriptでメッセージが表示されて終わるように見える
• メッセージを表示する裏側で、レジストリに攻撃のための準備を保存する
• 同じくレジストリに、DarkWatchmanが自動起動されるように設定される
• DarkWatchmanが起動すると、レジストリに保存されたPowerShellスクリプトを実行する
• PowerShellスクリプトのなかには、難読化されたキーロガーのソースコードが含まれている
• PowerShellスクリプトはキーロガーをコンパイルし、メモリ上で起動する
• 盗み出したキー入力内容は一旦レジストリに保存される
• 保存したキー入力内容はDarkWatchmanがC&Cに送信する
• 送信先のC&Cはドメイン生成アルゴリズムで生成して利用される機構となっており、送信先の特定が容易ではないようにする

実に高機能なファイルレス攻撃です。
これらの機能に加えて、EXEファイルの実行やDLLのなかの関数の実行、各種OSコマンドなどの実行、シャドウコピーの削除機能なども実装されています。

DarkWatchmanを足掛かりに、新しい大きな攻撃キャンペーンの展開が始まってしまうのかもしれません。

参考記事（外部リンク）：New stealthy DarkWatchman malware hides in the Windows
Registry
www.bleepingcomputer.com/news/security/new-stealthy-darkwatchman-malware-hides-in-the-windows-registry/