サイバースパイ活動「Potao Express」とマルウェア「Acronym」が結びつく

『Security Affairs』

April 20, 2017 08:00
by 『Security Affairs』

セキュリティ会社Arbor Networks(アーバーネットワークス)の専門家が、Operation Potao Expressの背後にいる攻撃者が使用する悪意のあるコードに関連すると思われる新しいマルウェアを特定した。

イタリア人研究者のAnteloxがTwitterでVirusTotalの解析へのリンクを共有した後に、彼らは調査を開始した。

この悪意のあるコードとドロッパーの解析により、マルウェアファミリーPotaoと関連性があるかもしれないと判明した。

Acronymマルウェアはトロイの木馬Potaoのように、モジュール構造を持つ。「万能のモジュール式サイバースパイツールキット」と形容されるPotaoマルウェアは少なくとも2011年から確認されていたが、2015年になり初めてESETが詳細に解析した。

2015年8月、ESETは「Operation Potao Express」というサイバースパイキャンペーンに関するレポートを発行した。このキャンペーンは、トロイの木馬化されたロシア語版TrueCryptの拡散と関連している。このマルウェアは、ウクライナやロシア、ジョージア(グルジア)、ベラルーシの組織・個人や高価値なターゲットに向けた標的型攻撃に用いられていた。

そして現在、 Arbor Networksのマルウェアの研究者が「Acronym」という悪意のあるコードを発見した。この名前はコマンド&コントロール(C&C)サーバーを示すデバッグ文字列とURLに基づいている。
「それ(訳注:上記AnteloxがTwitterで公開したサンプル)はAcronymとして知られるモジュール式マルウェアで、Win32/PotaoマルウェアファミリーやOperation Potao Expressキャンペーンに関連する可能性があることが詳細な調査で発覚した」と Arbor Networksが公開した解析レポートにある。

Acronymとそのドロッパーは2017年2月にコンパイルされたようだ。ドロッパーのコンポーネントの解析では、「wmpnetwk.exe」というWindowsのプロセスを停止することから始め、それを悪意のあるコードと置き換えることがわかった。それからC&Cサーバーにコンタクトし、感染したマシンに関する情報を送信する。
「初期化が完了すると、ボットはコマンド&コントロールサーバー(C2s)と通信を行う。この通信は、6つのIPアドレスとポートのペアと繰り返し行われる」
Acronymマルウェアは、レジストリの操作あるいはタスクスケジューラーにタスクを追加することによって持続化する。

このマルウェアはスクリーンショットのキャプチャーやその他のペイロードのダウンロード・実行、プラグインの実行ができる。残念ながらArbor Networks が解析を実施した時点ではC&Cサーバーがオフラインだったので、使用可能なプラグインに関する情報はない。研究者らは、トロイの木馬PotaoとAcronymマルウェアが同一のC&Cサーバーインフラを使用していることに気付いた。両方とも同じポートのC&Cドメインに接続し、「HH」で始まる名前の一時ファイルを使用する。

また研究者らは、暗号化と配信メカニズムが異なるという2つの脅威のいくつかの相違点にも気付いている。
「しかし一方で、Win32/Potaoで判明しているがAcronymにはない機能も多数ある。以下がその例だ」

  • ドロッパーはおとりの文書を使用しない
  • ドロッパーはドロップされた実行可能ファイルを圧縮して保存しない
  • いかなるプロセスへのインジェクションも行わない
  • EXEをドロップするがDLLはドロップしない
  • 文字列を暗号化しない
  • RSAキーの交換をしない
  • AES暗号化をしない
  • XMLによるデータの交換をしない
  • システム情報クエリ文字列が異なる
  • Windows API名をハッシュしない

「新しいマルウェアでは普通のことだが、この新たなマルウェアファミリーがどの程度活発でどの程度蔓延することになるのかを査定するには早すぎる。しかしこれには、監視する価値のあるOperation Potao Expressという長期間実施されているマルウェアキャンペーンとの潜在的なつながりがある」とArbor Networksは結論付けている。
 
翻訳:編集部
原文:Arbor Networks linked a new Acronym Malware to the Potao Express campaign
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…