■ はじめに
本ブログでは2021年11月8日の記事で、脆弱性攻撃ツール「Purple Fox」により構築されたボットネットの仕組みについて概説したほか、初期アクセス時に用いられた手法や関連性の高いバックドア型マルウェアについても一部検証しました。
今回の追跡調査では、Trend Micro Managed XDR(XDR)を介して観測されたPurple Foxの感染チェーンの後期段階、特に、悪意のあるSQL CLRアセンブリを注入(インジェクション)してSQLデータベースに感染したのち、不正活動の持続化やステルス性の高い活動を可能にする手法に焦点を当てました。今回の攻撃で使用されるファイルの多くは、感染システムのディスク上に保存されない点に注意が必要です。これらの不正ファイルは、遠隔操作サーバ(C&Cサーバ)から引き出されるか、暗号化された後、メモリから実行されたのち別のプロセスによって読み込まれます。
続きを読む