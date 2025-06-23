Claimloaderは、過去数年で大幅に進化したローダー・ファミリーです。これらには、暗号化されたシェルコード・ペイロードが含まれており、実行時に復号化されて注入されます。以前のブログでは、Hive0154で使用されていた以前の亜種についての技術的な詳細を説明しています。

最初の実行時に、Claimloaderは最初に新しいミューテックス・オブジェクトを作成し、Claimloaderのインスタンスが1つだけ実行されていることを確認します。その後、自身とDLLサイドローディングに使われるプロセスのEXEを新しいディレクトリに移します。例えば以下のような名前で移動させます。

C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe

C:\ProgramData\AdobeLicensingPlugin\libjyy.dll

次に、ClaimloaderはAPI SHSetValueA()を使用して、以下のレジストリー・キーを通じてEXEの永続性を確立します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

これにより、現在のユーザーがマシンにログオンするたびにEXEが実行されます。このプロセスは、「Licensing」などの事前定義された引数を使用して実行され、Claimloaderの主な機能を呼び出すために使用されます。

指定された引数を使用したClaimloaderの2回目の実行時に、最新のClaimloaderの亜種は、TripleDESアルゴリズムを介して埋め込みペイロードの復号化を開始します。このアルゴリズムは、2025年4月下旬以降のClaimloaderの亜種でのみ観察されています。更新された亜種はまた、XOR暗号化されたAPI名とネイティブAPIのLdrLoadDll() とLdrGetProcedureAddress()を使用して、インポートを動的に解決します。

5秒間スリープ状態になった後、Claimloaderはメモリーに新しい実行可能なバッファーを割り当て、シェルコードのペイロードをその中にコピーします。マルウェアはさらに 10 秒間スリープ状態になり、API の getDC () と EnumFontsw () を呼び出します。これらを使用して、エントリポイントをコールバック関数として渡すことで、メモリ内のペイロードを実行します。