サイバースパイ活動「Potao Express」とマルウェア「Acronym」が結びつく

『Security Affairs』

April 20, 2017 08:00
by 『Security Affairs』

セキュリティ会社Arbor Networks(アーバーネットワークス)の専門家が、Operation Potao Expressの背後にいる攻撃者が使用する悪意のあるコードに関連すると思われる新しいマルウェアを特定した。

イタリア人研究者のAnteloxがTwitterでVirusTotalの解析へのリンクを共有した後に、彼らは調査を開始した。

この悪意のあるコードとドロッパーの解析により、マルウェアファミリーPotaoと関連性があるかもしれないと判明した。

Acronymマルウェアはトロイの木馬Potaoのように、モジュール構造を持つ。「万能のモジュール式サイバースパイツールキット」と形容されるPotaoマルウェアは少なくとも2011年から確認されていたが、2015年になり初めてESETが詳細に解析した。

2015年8月、ESETは「Operation Potao Express」というサイバースパイキャンペーンに関するレポートを発行した。このキャンペーンは、トロイの木馬化されたロシア語版TrueCryptの拡散と関連している。このマルウェアは、ウクライナやロシア、ジョージア(グルジア)、ベラルーシの組織・個人や高価値なターゲットに向けた標的型攻撃に用いられていた。

そして現在、 Arbor Networksのマルウェアの研究者が「Acronym」という悪意のあるコードを発見した。この名前はコマンド&コントロール(C&C)サーバーを示すデバッグ文字列とURLに基づいている。
「それ(訳注:上記AnteloxがTwitterで公開したサンプル)はAcronymとして知られるモジュール式マルウェアで、Win32/PotaoマルウェアファミリーやOperation Potao Expressキャンペーンに関連する可能性があることが詳細な調査で発覚した」と Arbor Networksが公開した解析レポートにある。

Acronymとそのドロッパーは2017年2月にコンパイルされたようだ。ドロッパーのコンポーネントの解析では、「wmpnetwk.exe」というWindowsのプロセスを停止することから始め、それを悪意のあるコードと置き換えることがわかった。それからC&Cサーバーにコンタクトし、感染したマシンに関する情報を送信する。
「初期化が完了すると、ボットはコマンド&コントロールサーバー(C2s)と通信を行う。この通信は、6つのIPアドレスとポートのペアと繰り返し行われる」
Acronymマルウェアは、レジストリの操作あるいはタスクスケジューラーにタスクを追加することによって持続化する。

このマルウェアはスクリーンショットのキャプチャーやその他のペイロードのダウンロード・実行、プラグインの実行ができる。残念ながらArbor Networks が解析を実施した時点ではC&Cサーバーがオフラインだったので、使用可能なプラグインに関する情報はない。研究者らは、トロイの木馬PotaoとAcronymマルウェアが同一のC&Cサーバーインフラを使用していることに気付いた。両方とも同じポートのC&Cドメインに接続し、「HH」で始まる名前の一時ファイルを使用する。

また研究者らは、暗号化と配信メカニズムが異なるという2つの脅威のいくつかの相違点にも気付いている。
「しかし一方で、Win32/Potaoで判明しているがAcronymにはない機能も多数ある。以下がその例だ」

  • ドロッパーはおとりの文書を使用しない
  • ドロッパーはドロップされた実行可能ファイルを圧縮して保存しない
  • いかなるプロセスへのインジェクションも行わない
  • EXEをドロップするがDLLはドロップしない
  • 文字列を暗号化しない
  • RSAキーの交換をしない
  • AES暗号化をしない
  • XMLによるデータの交換をしない
  • システム情報クエリ文字列が異なる
  • Windows API名をハッシュしない

「新しいマルウェアでは普通のことだが、この新たなマルウェアファミリーがどの程度活発でどの程度蔓延することになるのかを査定するには早すぎる。しかしこれには、監視する価値のあるOperation Potao Expressという長期間実施されているマルウェアキャンペーンとの潜在的なつながりがある」とArbor Networksは結論付けている。
 
翻訳:編集部
原文:Arbor Networks linked a new Acronym Malware to the Potao Express campaign
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…