TicTacToe Dropper

TicTacToe Dropperは、名前の通り、ドロッパー型マルウェアです。
動作を開始すると、動作環境にマルウェアを持ってきて動かします。
TicTacToe Dropperには、多くの種類のサンプルが確認されています。
細かな内部の実装が異なるということもあるのですが、そもそものドロップするマルウェアの種類が多数あります。
1回の感染で多数をドロップするということではなく、このサンプルはこれをドロップする、という具合です。

TicTacToe Dropperがドロップする最終的なマルウェアには、こういったものがあります。
Leonem、AgentTesla、SnakeLogger、RemLoader、Sabsik、LokiBot、Taskun、Androm、Upatre、Remcosなどです。

このTicTacToe Dropperの内部の実装にはいくつもの違いがありますが、これは頻繁な開発による変更があるということかもしれません。
基本的な内部構造は共通しています。
どんな動作や特徴があるのかというと、こういう感じです。

• 多段階にレイヤー化されたペイロードを展開する
• ドロッパーペイロードのファイル形式は、すべての .NET 実行可能ファイル/ライブラリになっている
• 多段階の抽出プロセスのなかに、少なくとも1つのSmartAssemblyソフトウェアを使用して難読化されたペイロードが含まれる
• 難読化されたペイロードを解凍するために、DLLファイルが何段階にもネストして使用される
• 最終ペイロードを含むすべてのペイロードステージは反射型DLLインジェクションによってロードされる
  反射型DLLインジェクションでは、ディスクからではなくメモリからDLLをインジェクトすることが可能になる。
  ディスク上にDLLファイルの実体を必要としないだけでなく、Windowsローダも必要としないため、通常のDLLインジェクションよりも高度かつステルス的な動作となる。
• ほとんどのプライマリ.NETペイロードには、3～8文字の組み合わせからなる内部名があった
• 多くのサンプルには、配信された月の共通の文字列があった (例:Kolko_i_krzyzyk、MatrixEqualityTestDetail、Kakurasu など)
• サンプルの中には、自分自体のコピーを作成しようとするものもあった

このマルウェアは、フィッシング経由のisoファイルの配布から始まります。
これにより、Mark of the Webを回避できますし、最終のペイロードには多くの種類があります。
TicTacToe Dropperの部分も、開発が頻繁なようです。
これらが相まって、HASH的なアプローチでの対応は困難といえそうです。

このマルウェアがMaaSとして展開されていることはまだ確認されていませんが、観測状況から考えて、単独の脅威アクターの活動であるとは考えにくいものとなっています。
また厳しいマルウェアがMaaSとして展開されてきているということに思えます。

参考記事（外部リンク）：TicTacToe Dropper
www.fortinet.com/blog/threat-research/tictactoe-dropper