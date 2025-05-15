同様の手法が以前にNCCグループによって報告されました。

2022年11月、 LACはClaimloaderの亜種を報告しました。これは、前のセクションで詳述した 2023 年から 2024 年にかけての活動とほぼ同じ感染連鎖であり、フィリピンの政府機関織を標的にした可能性があります。この亜種では、ペイロードを暗号化されたスタック文字列の32バイトのブロックとして保管し、それぞれを復号化します。また、レジストリまたはスケジュールされたタスクを介して永続性を確立しようとする前に、正規の実行可能ファイルとClaimloader DLLを新しいディレクトリにコピーするため、事実上、ローダーに加えてインストーラーにもなります。

マルウェアは実行されると、Claimloaderのインスタンスが1つだけ確実に実行されるようにハードコードされたミューテックスをまず作成します。次に、最初の実行時には存在しない特定のコマンドライン引数をチェックします。その場合、ClaimloaderはEXEとDLLの両方を、多くの場合「C:∕ProgramData∕」というソフトウェア・ディレクトリを模した、目立たない新しいディレクトリにコピーします。そのディレクトリとは、以下のようなものです。

C:\ProgramData\NVIDIACoporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\pxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

この動作は、最近の Claimloader サンプルのほとんどで使用されており、サンドボックスの実行が失敗する可能性もあります。

次に、マルウェアは、正しいコマンドライン引数を指定して EXE のパスを新しいレジストリキーに保存し、再び目立たないソフトウェア名を付けることで、ログイン時の永続性を確立します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run