サイバースパイ活動「Potao Express」とマルウェア「Acronym」が結びつく

『Security Affairs』

April 20, 2017 08:00
by 『Security Affairs』

セキュリティ会社Arbor Networks(アーバーネットワークス)の専門家が、Operation Potao Expressの背後にいる攻撃者が使用する悪意のあるコードに関連すると思われる新しいマルウェアを特定した。

イタリア人研究者のAnteloxがTwitterでVirusTotalの解析へのリンクを共有した後に、彼らは調査を開始した。

この悪意のあるコードとドロッパーの解析により、マルウェアファミリーPotaoと関連性があるかもしれないと判明した。

Acronymマルウェアはトロイの木馬Potaoのように、モジュール構造を持つ。「万能のモジュール式サイバースパイツールキット」と形容されるPotaoマルウェアは少なくとも2011年から確認されていたが、2015年になり初めてESETが詳細に解析した。

2015年8月、ESETは「Operation Potao Express」というサイバースパイキャンペーンに関するレポートを発行した。このキャンペーンは、トロイの木馬化されたロシア語版TrueCryptの拡散と関連している。このマルウェアは、ウクライナやロシア、ジョージア(グルジア)、ベラルーシの組織・個人や高価値なターゲットに向けた標的型攻撃に用いられていた。

そして現在、 Arbor Networksのマルウェアの研究者が「Acronym」という悪意のあるコードを発見した。この名前はコマンド&コントロール(C&C)サーバーを示すデバッグ文字列とURLに基づいている。
「それ(訳注:上記AnteloxがTwitterで公開したサンプル)はAcronymとして知られるモジュール式マルウェアで、Win32/PotaoマルウェアファミリーやOperation Potao Expressキャンペーンに関連する可能性があることが詳細な調査で発覚した」と Arbor Networksが公開した解析レポートにある。

Acronymとそのドロッパーは2017年2月にコンパイルされたようだ。ドロッパーのコンポーネントの解析では、「wmpnetwk.exe」というWindowsのプロセスを停止することから始め、それを悪意のあるコードと置き換えることがわかった。それからC&Cサーバーにコンタクトし、感染したマシンに関する情報を送信する。
「初期化が完了すると、ボットはコマンド&コントロールサーバー(C2s)と通信を行う。この通信は、6つのIPアドレスとポートのペアと繰り返し行われる」
Acronymマルウェアは、レジストリの操作あるいはタスクスケジューラーにタスクを追加することによって持続化する。

このマルウェアはスクリーンショットのキャプチャーやその他のペイロードのダウンロード・実行、プラグインの実行ができる。残念ながらArbor Networks が解析を実施した時点ではC&Cサーバーがオフラインだったので、使用可能なプラグインに関する情報はない。研究者らは、トロイの木馬PotaoとAcronymマルウェアが同一のC&Cサーバーインフラを使用していることに気付いた。両方とも同じポートのC&Cドメインに接続し、「HH」で始まる名前の一時ファイルを使用する。

また研究者らは、暗号化と配信メカニズムが異なるという2つの脅威のいくつかの相違点にも気付いている。
「しかし一方で、Win32/Potaoで判明しているがAcronymにはない機能も多数ある。以下がその例だ」

  • ドロッパーはおとりの文書を使用しない
  • ドロッパーはドロップされた実行可能ファイルを圧縮して保存しない
  • いかなるプロセスへのインジェクションも行わない
  • EXEをドロップするがDLLはドロップしない
  • 文字列を暗号化しない
  • RSAキーの交換をしない
  • AES暗号化をしない
  • XMLによるデータの交換をしない
  • システム情報クエリ文字列が異なる
  • Windows API名をハッシュしない

「新しいマルウェアでは普通のことだが、この新たなマルウェアファミリーがどの程度活発でどの程度蔓延することになるのかを査定するには早すぎる。しかしこれには、監視する価値のあるOperation Potao Expressという長期間実施されているマルウェアキャンペーンとの潜在的なつながりがある」とArbor Networksは結論付けている。
 
翻訳:編集部
原文:Arbor Networks linked a new Acronym Malware to the Potao Express campaign
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…