サイバースパイ活動「Potao Express」とマルウェア「Acronym」が結びつく

『Security Affairs』

April 20, 2017 08:00
by 『Security Affairs』

セキュリティ会社Arbor Networks(アーバーネットワークス)の専門家が、Operation Potao Expressの背後にいる攻撃者が使用する悪意のあるコードに関連すると思われる新しいマルウェアを特定した。

イタリア人研究者のAnteloxがTwitterでVirusTotalの解析へのリンクを共有した後に、彼らは調査を開始した。

この悪意のあるコードとドロッパーの解析により、マルウェアファミリーPotaoと関連性があるかもしれないと判明した。

Acronymマルウェアはトロイの木馬Potaoのように、モジュール構造を持つ。「万能のモジュール式サイバースパイツールキット」と形容されるPotaoマルウェアは少なくとも2011年から確認されていたが、2015年になり初めてESETが詳細に解析した。

2015年8月、ESETは「Operation Potao Express」というサイバースパイキャンペーンに関するレポートを発行した。このキャンペーンは、トロイの木馬化されたロシア語版TrueCryptの拡散と関連している。このマルウェアは、ウクライナやロシア、ジョージア(グルジア)、ベラルーシの組織・個人や高価値なターゲットに向けた標的型攻撃に用いられていた。

そして現在、 Arbor Networksのマルウェアの研究者が「Acronym」という悪意のあるコードを発見した。この名前はコマンド&コントロール(C&C)サーバーを示すデバッグ文字列とURLに基づいている。
「それ(訳注:上記AnteloxがTwitterで公開したサンプル)はAcronymとして知られるモジュール式マルウェアで、Win32/PotaoマルウェアファミリーやOperation Potao Expressキャンペーンに関連する可能性があることが詳細な調査で発覚した」と Arbor Networksが公開した解析レポートにある。

Acronymとそのドロッパーは2017年2月にコンパイルされたようだ。ドロッパーのコンポーネントの解析では、「wmpnetwk.exe」というWindowsのプロセスを停止することから始め、それを悪意のあるコードと置き換えることがわかった。それからC&Cサーバーにコンタクトし、感染したマシンに関する情報を送信する。
「初期化が完了すると、ボットはコマンド&コントロールサーバー(C2s)と通信を行う。この通信は、6つのIPアドレスとポートのペアと繰り返し行われる」
Acronymマルウェアは、レジストリの操作あるいはタスクスケジューラーにタスクを追加することによって持続化する。

このマルウェアはスクリーンショットのキャプチャーやその他のペイロードのダウンロード・実行、プラグインの実行ができる。残念ながらArbor Networks が解析を実施した時点ではC&Cサーバーがオフラインだったので、使用可能なプラグインに関する情報はない。研究者らは、トロイの木馬PotaoとAcronymマルウェアが同一のC&Cサーバーインフラを使用していることに気付いた。両方とも同じポートのC&Cドメインに接続し、「HH」で始まる名前の一時ファイルを使用する。

また研究者らは、暗号化と配信メカニズムが異なるという2つの脅威のいくつかの相違点にも気付いている。
「しかし一方で、Win32/Potaoで判明しているがAcronymにはない機能も多数ある。以下がその例だ」

  • ドロッパーはおとりの文書を使用しない
  • ドロッパーはドロップされた実行可能ファイルを圧縮して保存しない
  • いかなるプロセスへのインジェクションも行わない
  • EXEをドロップするがDLLはドロップしない
  • 文字列を暗号化しない
  • RSAキーの交換をしない
  • AES暗号化をしない
  • XMLによるデータの交換をしない
  • システム情報クエリ文字列が異なる
  • Windows API名をハッシュしない

「新しいマルウェアでは普通のことだが、この新たなマルウェアファミリーがどの程度活発でどの程度蔓延することになるのかを査定するには早すぎる。しかしこれには、監視する価値のあるOperation Potao Expressという長期間実施されているマルウェアキャンペーンとの潜在的なつながりがある」とArbor Networksは結論付けている。
 
翻訳:編集部
原文:Arbor Networks linked a new Acronym Malware to the Potao Express campaign
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…