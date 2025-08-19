2024年11月以降、IBM X-Forceは、感染したシステムに追加のペイロードを配信するために使用されている新たなローダー「QuirkyLoader」を観察しています。QuirkyLoaderを使用する有名なマルウェア・ファミリーには次のようなものがあります。
多段階感染はEメールから始まります。脅威アクターは、正規のEメール・サービス・プロバイダーとセルフホスト型Eメール・サーバーの両方を使用して、悪意のあるアーカイブが添付されたEメールを送信します。このアーカイブには、正規の実行ファイル、暗号化されたペイロード、悪意のあるDLLという3つの主要コンポーネントが含まれています。攻撃者は、正規の実行ファイルを起動すると悪意のあるDLLもロードされるという手法である、DLLサイドローディングを使用します。続いてこのDLLは、最終的なペイロードを読み込み、復号化し、ターゲット・プロセスに挿入します。
特にX-Forceは、脅威アクターが一貫して.NET言語でDLLローダー・モジュールを作成し、事前（AOT）コンパイルを使用している点に注目しました。このプロセスでは、実行前にコードがネイティブ・マシン・コードにコンパイルされ、結果として得られるバイナリーはCまたはC++言語で書かれたかのように見えます。
QuirkyLoaderの感染チェーンは、ユーザーがスパムEメールに添付された悪意のあるアーカイブ/ファイルを開いたときに始まります。このアーカイブには、正規の実行ファイル、DLLを装った暗号化されたペイロード、およびDLLローダー・モジュールが含まれています。場合によっては、アーカイブには悪意のあるモジュールを隠すための他の正規のDLLが含まれることもあります。
正規の.EXE ファイルを実行すると、次の感染段階が開始されます。実行ファイルは、DLLサイドロードを使用して悪意のあるDLLをロードします。次に、このDLLは最終的なペイロードをロードして復号化し、ターゲット・プロセスに挿入します。これは、AddInProcess32.exe、InstallUtil.exe、またはaspnet_wp.exeのいずれかのプロセスでプロセス・ホスティングを実行することによって実現されます。
QuirkyLoaderのDLLモジュールは、一貫してC# .NETで記述されています。これは、まずC#コードをMicrosoft Intermediate Language（MSIL）にコンパイルし、次にMSILをネイティブ・マシン・コードにコンパイルするAhead-of-Time（AOT）コンパイルを使用してコンパイルします。この手法は、まずコードをMicrosoft Intermediate Language（MSIL）にコンパイルし、その後共通言語ランタイム（CLR）を使用してネイティブ・コードに変換するという従来の.NET手法を回避するものです。その結果、最終的なバイナリーは、CまたはC++で記述されたプログラムに似ています。
暗号化されたペイロードをロードするために、マルウェアはWin32 APIのCreateFileW()およびReadFile()を呼び出します。次に、通常はブロック暗号を使用して、ペイロードを含むバッファーを復号化します。
興味深いことに、ある亜種では、カウンター（CTR）モードを使用したSpeck-128暗号を使用してペイロードを復号化しています。これはマルウェアでは一般的に使用されない方法です。Speck暗号は、マスター・キーを複数のラウンド・キーに拡張することで機能します。これらのラウンド・キーとノンスを使用して、Add-Rotate-XOR（ARX）オペレーションを実行することでキーストリームを生成します。最後に、マルウェアは生成されたキーストリームを16バイト・ブロック内の暗号化データとXOR演算し、復号化されたペイロードを生成します。
コードブロック1 Speck暗号のキーストリーム生成
このマルウェアは、セキュリティー・ソフトウェアによる検知を回避するために、プロセス・ホスティングに必要なWin32 APIを動的に解決します。
まず、このマルウェアはCreateProcessW()を使用して、一時停止状態のプロセスを起動します。次に、 ZwUnmapViewOfSection()を使用して中断されたプロセスのメモリーをマップ解除し、 ZwWriteVirtualMemory()を使用してそのメモリ空間に悪意のあるペイロードを書き込みます。これらの初期化を実行した後、マルウェアはSetThreadContext()を使用してペイロードの開始点を設定し、ResumeThread()を呼び出してそれを実行します。
過去数か月間、QuirkyLoaderのオペレーションに関する情報は限られていましたが、2025年7月に台湾とメキシコを標的とした2つの異なるキャンペーンが発見されました。台湾でのキャンペーンは、ネットワークおよびインターネット・セキュリティーの研究会社であるNusoft Taiwanの従業員を特にターゲットとし、Snake Keyloggerインフォスティーラーを配信しました。メキシコのキャンペーンはランダムに個人をターゲットにし、Remcos RATとAsyncRATの両方を配信しました。
IBM X-Forceは、スパムEメールの配信に使用されたドメインに関連する追加のネットワークIOCを発見しました。この調査はcatherinereynolds[.]infoというドメインから始まりました。これはIPアドレス157[.]66[.]225[.]11 に解決され、Zimbra Webクライアントをホストします。詳細に調査したところ、このドメインでは、mail[.]catherinereynolds[.]infoという名称のSSL証明書が使用されていることが判明しました。この証明書を基に、IPアドレス103[.]75[.]77[.]90および161[.]248[.]178[.]212が同じSSL証明書を使用していることが明らかになりました。X-Forceは、これらの追加IPが同様のISPを使用し、同様のサービスをホストし、SSL証明書で同じ共通名であることから、関連性があると確信しています。
QuirkyLoaderは、Agent Tesla、AsyncRAT、Remcosなどの有名なマルウェア・ファミリーを積極的に配信している新たなローダー・マルウェアです。脅威アクターは、アーカイブ・ファイルを含む悪意のあるEメールを使用して多段階感染を開始します。このマルウェアは、DLLサイドロードを利用して、その性質を偽装するために一貫して.NET で記述され、事前にコンパイルされたコアDLLモジュールを実行します。このモジュールは、最終的なペイロードを復号化して挿入し、さまざまなマルウェアの脅威を配信するための高度な手法を示します。
分類
インジケーターの種類
コンテキスト
011257eb766f2539828bdd45
ファイル
QuirkyLoaderのDLLモジュール
0ea3a55141405ee0e2dfbf33
ファイル
QuirkyLoaderのDLLモジュール
a64a99b8451038f2bbcd32
ファイル
QuirkyLoaderのDLLモジュール
9726e5c7f9800b36b671b06
ファイル
QuirkyLoaderのDLLモジュール
a1994ba84e255eb02a6140c
ファイル
QuirkyLoaderのDLLモジュール
d954b235bde6ad02451cab
ファイル
QuirkyLoaderのサンプルEメール
5d5b3e3b78aa25664fb2bfdb
ファイル
QuirkyLoaderのサンプルEメール
6f53c1780b92f3d5affcf095ae
ファイル
QuirkyLoaderのサンプルEメール
ea65cf2d5634a81f37d3241a7
ファイル
QuirkyLoaderのサンプルEメール
1b8c6d3268a5706fb41ddfff99
ファイル
QuirkyLoaderのサンプルEメール
d0a3a1ee914bcbfcf709d36741
ファイル
QuirkyLoaderのサンプルEメール
b22d878395ac2f2d927b78b16
ファイル
QuirkyLoaderのサンプルEメール
a83aa955608e9463f272adca
ファイル
QuirkyLoaderのサンプルEメール
3391b0f865f4c13dcd9f08c6d3e
ファイル
QuirkyLoaderのサンプルEメール
b2fdf10bd28c781ca354475be6
ファイル
QuirkyLoaderのサンプルEメール
bf3093f7453e4d0290511ea6a0
ファイル
QuirkyLoaderを含むEメールへの添付
97aee6ca1bc79064d21e1eb7b8
ファイル
QuirkyLoaderを含むEメールへの添付
b42bc8b2aeec39f25babdcbbd
ファイル
QuirkyLoaderを含むEメールへの添付
5aaf02e4348dc6e962ec54d5d
ファイル
QuirkyLoaderを含むEメールへの添付
8e0770383c03ce6921079879
ファイル
QuirkyLoaderを含むEメールへの添付
049ef50ec0fac1b99857a6d2b
ファイル
QuirkyLoaderを含むEメールへの添付
cba8bb455d577314959602eb
ファイル
QuirkyLoaderを含むEメールへの添付
catherinereynolds[.]info
ドメイン
マルスパム・キャンペーンに使用されるドメイン
mail[.]catherinereynolds[.]info
ドメイン
マルスパム・キャンペーンに使用されるドメイン
157[.]66[.]22[.]11
IPv4
catherinereynolds[.]infoが解決されるIPアドレス
103[.]75[.]77[.]90
IPv4
QuirkyLoaderに関連するIPアドレス
161[.]248[.]178[.]212
IPv4
QuirkyLoaderに関連するIPアドレス
IBM X-Force Premier Threat Intelligenceは、OpenCTIと統合され、この脅威アクティビティーやその他に関して、実用的な脅威インテリジェンスを提供しています。
