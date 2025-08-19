タグ
IBM X-Forceによる脅威分析：QuirkyLoader - インフォスティーラーとRATを配信する新たなマルウェア・ローダー

2024年11月以降、IBM X-Forceは、感染したシステムに追加のペイロードを配信するために使用されている新たなローダー「QuirkyLoader」を観察しています。QuirkyLoaderを使用する有名なマルウェア・ファミリーには次のようなものがあります。

  • Agent Tesla
  • AsyncRAT
  • FormBook
  • MassLogger
  • Remcos
  • Rhadamanthys
  • Snake Keylogger

多段階感染はEメールから始まります。脅威アクターは、正規のEメール・サービス・プロバイダーとセルフホスト型Eメール・サーバーの両方を使用して、悪意のあるアーカイブが添付されたEメールを送信します。このアーカイブには、正規の実行ファイル、暗号化されたペイロード、悪意のあるDLLという3つの主要コンポーネントが含まれています。攻撃者は、正規の実行ファイルを起動すると悪意のあるDLLもロードされるという手法である、DLLサイドローディングを使用します。続いてこのDLLは、最終的なペイロードを読み込み、復号化し、ターゲット・プロセスに挿入します。

特にX-Forceは、脅威アクターが一貫して.NET言語でDLLローダー・モジュールを作成し、事前（AOT）コンパイルを使用している点に注目しました。このプロセスでは、実行前にコードがネイティブ・マシン・コードにコンパイルされ、結果として得られるバイナリーはCまたはC++言語で書かれたかのように見えます。

脅威の種類

  • ローダー

分析

感染チェーン

QuirkyLoaderの感染チェーンは、ユーザーがスパムEメールに添付された悪意のあるアーカイブ/ファイルを開いたときに始まります。このアーカイブには、正規の実行ファイル、DLLを装った暗号化されたペイロード、およびDLLローダー・モジュールが含まれています。場合によっては、アーカイブには悪意のあるモジュールを隠すための他の正規のDLLが含まれることもあります。

正規の.EXE ファイルを実行すると、次の感染段階が開始されます。実行ファイルは、DLLサイドロードを使用して悪意のあるDLLをロードします。次に、このDLLは最終的なペイロードをロードして復号化し、ターゲット・プロセスに挿入します。これは、AddInProcess32.exeInstallUtil.exe、またはaspnet_wp.exeのいずれかのプロセスでプロセス・ホスティングを実行することによって実現されます。

マルウェア/ローダーの配信に使用されるEメールのサンプル
図1：サンプルEメール
QuirkyLoaderの感染チェーンを示すフロー・チャート
図2：感染チェーン

DLLローダー・モジュール

QuirkyLoaderのDLLモジュールは、一貫してC# .NETで記述されています。これは、まずC#コードをMicrosoft Intermediate Language（MSIL）にコンパイルし、次にMSILをネイティブ・マシン・コードにコンパイルするAhead-of-Time（AOT）コンパイルを使用してコンパイルします。この手法は、まずコードをMicrosoft Intermediate Language（MSIL）にコンパイルし、その後共通言語ランタイム（CLR）を使用してネイティブ・コードに変換するという従来の.NET手法を回避するものです。その結果、最終的なバイナリーは、CまたはC++で記述されたプログラムに似ています。

.NET AOTバイナリーのコンパイラーと言語識別の製品の画面
図3：.NET AOTバイナリーのコンパイラーと言語の識別

暗号化されたペイロードをロードするために、マルウェアはWin32 APIのCreateFileW()およびReadFile()を呼び出します。次に、通常はブロック暗号を使用して、ペイロードを含むバッファーを復号化します。

興味深いことに、ある亜種では、カウンター（CTR）モードを使用したSpeck-128暗号を使用してペイロードを復号化しています。これはマルウェアでは一般的に使用されない方法です。Speck暗号は、マスター・キーを複数のラウンド・キーに拡張することで機能します。これらのラウンド・キーとノンスを使用して、Add-Rotate-XOR（ARX）オペレーションを実行することでキーストリームを生成します。最後に、マルウェアは生成されたキーストリームを16バイト・ブロック内の暗号化データとXOR演算し、復号化されたペイロードを生成します。

__int64 __fastcall SPECK_128_KeyStream(__int64 *Nonce_Lower_Half, __int64
*Nonce_Upper_Half, __int64 Round_Keys)
{
  __int64 result; // rax
  __int64 v4; // r10
  LODWORD(result) = 0;
  if ( Round_Keys && *(Round_Keys + 8) >= 32 )
  {
    do
    {
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^
(*Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56));
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  else
  {
    do
    {
      v4 = *Nonce_Upper_Half + __ROL8__(*Nonce_Lower_Half, 56);
      if ( result >= *(Round_Keys + 8) )
        ERR_Mb_15();
      *Nonce_Lower_Half = *(Round_Keys + 8LL * result + 16) ^ v4;
      *Nonce_Upper_Half = *Nonce_Lower_Half ^ __ROL8__(*Nonce_Upper_Half, 3);
      result = (result + 1);
    }
    while ( result < 32 );
  }
  return result;
}

コードブロック1 Speck暗号のキーストリーム生成

このマルウェアは、セキュリティー・ソフトウェアによる検知を回避するために、プロセス・ホスティングに必要なWin32 APIを動的に解決します。

まず、このマルウェアはCreateProcessW()を使用して、一時停止状態のプロセスを起動します。次に、 ZwUnmapViewOfSection()を使用して中断されたプロセスのメモリーをマップ解除し、 ZwWriteVirtualMemory()を使用してそのメモリ空間に悪意のあるペイロードを書き込みます。これらの初期化を実行した後、マルウェアはSetThreadContext()を使用してペイロードの開始点を設定し、ResumeThread()を呼び出してそれを実行します。

GetProcAddress ( 0x00007ff899380000, "CreateProcessW" )
GetProcAddress ( 0x00007ff899380000, "OpenProcess" )
GetProcAddress ( 0x00007ff899380000, "TerminateProcess" )
GetProcAddress ( 0x00007ff899380000, "CloseHandle" )
GetProcAddress ( 0x00007ff899380000, "GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64GetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "Wow64SetThreadContext" )
GetProcAddress ( 0x00007ff899380000, "ResumeThread" )
GetProcAddress ( 0x00007ff899380000, "VirtualAllocEx" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwUnmapViewOfSection" )
GetProcAddress ( 0x00007ff89a6d0000, "ZwWriteVirtualMemory" )
GetProcAddress ( 0x00007ff899790000, "memset" )
GetProcAddress ( 0x00007ff899380000, "VirtualProtectEx" )
GetProcAddress ( 0x00007ff899380000, "FlushInstructionCache" )
GetProcAddress ( 0x00007ff899380000, "ReadProcessMemory" )

被害者学

過去数か月間、QuirkyLoaderのオペレーションに関する情報は限られていましたが、2025年7月に台湾とメキシコを標的とした2つの異なるキャンペーンが発見されました。台湾でのキャンペーンは、ネットワークおよびインターネット・セキュリティーの研究会社であるNusoft Taiwanの従業員を特にターゲットとし、Snake Keyloggerインフォスティーラーを配信しました。メキシコのキャンペーンはランダムに個人をターゲットにし、Remcos RATとAsyncRATの両方を配信しました。

関連するネットワーク・インフラストラクチャー

IBM X-Forceは、スパムEメールの配信に使用されたドメインに関連する追加のネットワークIOCを発見しました。この調査はcatherinereynolds[.]infoというドメインから始まりました。これはIPアドレス157[.]66[.]225[.]11 に解決され、Zimbra Webクライアントをホストします。詳細に調査したところ、このドメインでは、mail[.]catherinereynolds[.]infoという名称のSSL証明書が使用されていることが判明しました。この証明書を基に、IPアドレス103[.]75[.]77[.]90および161[.]248[.]178[.]212が同じSSL証明書を使用していることが明らかになりました。X-Forceは、これらの追加IPが同様のISPを使用し、同様のサービスをホストし、SSL証明書で同じ共通名であることから、関連性があると確信しています。

catherinereynolds[.]infoのSSL証明書
図4：catherinereynolds[.]infoのSSL証明書

まとめ

QuirkyLoaderは、Agent Tesla、AsyncRAT、Remcosなどの有名なマルウェア・ファミリーを積極的に配信している新たなローダー・マルウェアです。脅威アクターは、アーカイブ・ファイルを含む悪意のあるEメールを使用して多段階感染を開始します。このマルウェアは、DLLサイドロードを利用して、その性質を偽装するために一貫して.NET で記述され、事前にコンパイルされたコアDLLモジュールを実行します。このモジュールは、最終的なペイロードを復号化して挿入し、さまざまなマルウェアの脅威を配信するための高度な手法を示します。

推奨事項

  • 実行ファイルが添付されたメッセージをブロックする
  • 予期しないEメールを開かない
  • 信頼できないソースからのファイルを開かない
  • セキュリティー製品を最新の状態に保ち、適切に構成する
  • 最終的なペイロードは通常、インフォスティーラーとリモートアクセス・ツールであるため、アウトバウンド・ネットワーク・トラフィックを積極的に監視および検査する
  • 次の正規プロセスはQuirkyLoaderによるプロセスの空洞化のターゲットとなりやすいため、その動作を注意深く監視する
  •  
    • AddInProcess32.exe
    • InstallUtil.exe
    • aspnet_wp.exe

侵害の兆候

分類

インジケーターの種類

コンテキスト

011257eb766f2539828bdd45
f8aa4ce3c4048ac2699d9883
29783290a7b4a0d3

ファイル

QuirkyLoaderのDLLモジュール

0ea3a55141405ee0e2dfbf33
3de01fe93c12cf34555550e4f
7bb3fdec2a7673b

ファイル

QuirkyLoaderのDLLモジュール

a64a99b8451038f2bbcd32
2fd729edf5e6ae0eb70a244
e342b2f8eff12219d03

ファイル

QuirkyLoaderのDLLモジュール

9726e5c7f9800b36b671b06
4e89784fb10465210198fbbb
75816224e85bd1306

ファイル

QuirkyLoaderのDLLモジュール

a1994ba84e255eb02a6140c
ab9fc4dd9a6371a84b1dd631
bd649525ac247c111

ファイル

QuirkyLoaderのDLLモジュール

d954b235bde6ad02451cab
6ee1138790eea569cf8fd0b
95de9dc505957c533cd

ファイル

QuirkyLoaderのサンプルEメール

5d5b3e3b78aa25664fb2bfdb
f061fc1190310f5046d969adab
3e7565978b96ff

ファイル

QuirkyLoaderのサンプルEメール

6f53c1780b92f3d5affcf095ae
0ad803974de6687a4938a2e
1c9133bf1081eb6

ファイル

QuirkyLoaderのサンプルEメール

ea65cf2d5634a81f37d3241a7
7f9cd319e45c1b13ffbaf5f8a63
7b34141292eb

ファイル

QuirkyLoaderのサンプルEメール

1b8c6d3268a5706fb41ddfff99
c8579ef029333057b911bb490
5e24aacc05460

ファイル

QuirkyLoaderのサンプルEメール

d0a3a1ee914bcbfcf709d36741
7f8c85bd0a22d8ede0829a66
e5be34e5e53bb9

ファイル

QuirkyLoaderのサンプルEメール

b22d878395ac2f2d927b78b16
c9f5e9b98e006d6357c98dbe
04b3fd78633ddde

ファイル

QuirkyLoaderのサンプルEメール

a83aa955608e9463f272adca
205c9e1a7cbe9d1ced1e10c9d
517b4d1177366f6

ファイル

QuirkyLoaderのサンプルEメール

3391b0f865f4c13dcd9f08c6d3e
3be844e89fa3afbcd95b5d1a1c
5abcacf41f4

ファイル

QuirkyLoaderのサンプルEメール

b2fdf10bd28c781ca354475be6
db40b8834f33d395f7b5850be
43ccace722c13

ファイル

QuirkyLoaderのサンプルEメール

bf3093f7453e4d0290511ea6a0
36cd3a66f456cd4a85b7ec8fbf
ea6b9c548504

ファイル

QuirkyLoaderを含むEメールへの添付

97aee6ca1bc79064d21e1eb7b8
6e497adb7ece6376f355e47b2
ac60f366e843d

ファイル

QuirkyLoaderを含むEメールへの添付

b42bc8b2aeec39f25babdcbbd
aab806c339e4397debfde2ff1b
69dca5081eb44

ファイル

QuirkyLoaderを含むEメールへの添付

5aaf02e4348dc6e962ec54d5d
31095f055bd7fb1e5831768200
3552fd6fe25dc

ファイル

QuirkyLoaderを含むEメールへの添付

8e0770383c03ce6921079879
9d543b10de088bac147dce47
03f13f79620b68b1

ファイル

QuirkyLoaderを含むEメールへの添付

049ef50ec0fac1b99857a6d2b
eb8134be67ae67ae134f9a3c5
3699cdaa7c89ac

ファイル

QuirkyLoaderを含むEメールへの添付

cba8bb455d577314959602eb
15edcaa34d0b164e2ef9d89b0
8733ed64381c6e0

ファイル

QuirkyLoaderを含むEメールへの添付

catherinereynolds[.]info

ドメイン

マルスパム・キャンペーンに使用されるドメイン

mail[.]catherinereynolds[.]info

ドメイン

マルスパム・キャンペーンに使用されるドメイン

157[.]66[.]22[.]11

IPv4

catherinereynolds[.]infoが解決されるIPアドレス

103[.]75[.]77[.]90

IPv4

QuirkyLoaderに関連するIPアドレス

161[.]248[.]178[.]212

IPv4

QuirkyLoaderに関連するIPアドレス

IBM X-Force Premier Threat Intelligenceは、OpenCTIと統合され、この脅威アクティビティーやその他に関して、実用的な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、各業界のリスクについてのインサイトにアクセスしましょう。OpenCTI Connectorをインストールし、IBM X-Forceの専門知識を活用して、検知、対応、サイバーセキュリティーを強化してください。一歩先へ。今すぐ統合しましょう

