研究者は、Colibriマルウェアがハッキングされたシステムでどのように持続するかを明らかにします

「このローダーには、検出を回避するのに役立つ複数の手法があります」CloudSEKの研究者であるMarahAboud氏は先月述べました。
Malwarebytesによって監視されたキャンペーン攻撃チェーンは、リモートテンプレートインジェクションと呼ばれる手法を利用して、武器化されたMicrosoft Wordドキュメントを使用してColibriローダー（「setup.exe」）をダウンロードします。
これは、Windows 10以降を実行しているシステムでスケジュールされたタスクを作成し、ローダーが非表示のウィンドウ（つまり、-WindowStyle Hidden）でPowerShellを起動するコマンドを実行して、悪意のあるアクティビティが検出されないようにすることで実現します。
「Get-Variableが有効なPowerShellコマンドレット（コマンドレットはWindows PowerShell環境で使用される軽量コマンド）であり、現在のコンソールで変数の値を取得するために使用されることがあります」と研究者は説明しました。
これは事実上、「攻撃者は、スケジュールされたタスクと任意のペイロードを組み合わせることで（Get-Variable.exeと呼ばれ、適切な場所に配置されている限り）永続性を簡単に達成できる」ことを意味します。