ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア

『Security Affairs』

September 13, 2017 09:30
by 『Security Affairs』

ダークウェブでは、マルウェアを提供し、またバイヤーの要望に応えてそれをカスタマイズしてくれるマルウェア作者やハッキングフォーラムを簡単に見つけることができる。

セキュリティ企業Zscalerの研究者たちは先日、闇市場で「Cobian」(コビアン)と呼ばれるリモートアクセス型トロイの木馬(RAT)が無償提供されているのを発見した。それは「njRAT」の名で知られる古いRATを土台とした、かなり素朴な悪性コードで、一般的なスパイ機能(たとえばキーロガー、ウェブカメラのハイジャック、スクリーンキャプチャなど)を実装しており、もちろん被害者のシステム上で攻撃者のコードを実行する機能も備えている。

「研究チーム『The Zscaler ThreatLabZ』は2017年2月以降、Cobian RATと呼ばれる新たなRATファミリーを観察してきた。このRATファミリーのビルダーは当初、闇市場に存在している複数のフォーラム(サイバー犯罪者がしばしばエクスプロイトやマルウェアのキットを売買するフォーラム)で宣伝されていた」とZscalerは記している
「このRATのビルダーは無償で提供されており、またnjRAT/H-Wormとの類似点が多かったので、我々はそれに注目した。当レポートには、その分析結果が記されている」

残念ながら、このRAT「Cobian」は暗号化されたライブラリに悪質な機能を隠している。そのコードは、RATに感染したマシンを「マルウェアの作者が」完全に制御できるようにするものだ。

そのコードは(Cobianの)作者によって利用される。「最初にマシンをCobainに感染させた詐欺師」を完全に切り離すために利用することもできる。

Zscalerの研究者たちは、Cobianビルダーキットに仕込まれたバックドアモジュールが、オリジナルの作者に管理されたPastebinのプリセットページと通信していることに気づいた。このようにして、Cobianは「オリジナルのマルウェア作者が利用しているC&Cサーバー」の現在のアドレスを手に入れる。しかし、それは検出されることを防ぐために、まず「第2レベルのオペレーター(編集部注:Cobianの利用者)がオンラインにいるかどうか」をチェックする。

オリジナルの作者の目的は、RAT「Cobian」を拡散しようとする第2のオペレーターの労力を利用し、大規模なボットネットを構築することなのではないかと、Zscalerの研究者たちは推測している。

「このキットを使ってマルウェアを拡散し、エンドユーザーから情報を盗もうとする『第2レベルのオペレーター』が、オリジナルの(Cobianの)作者に騙されているというのは皮肉なことだ。オリジナルの作者は基本的に、『第2レベルのオペレーターのボットネットを活用する巨大なボットネット』構築のためのクラウドソースのモデルを利用している」と彼らは結論づけた。
 
翻訳:編集部
原文:Malware writer is offering for free a malware dubbed Cobian RAT in the underground, but the malicious code hides an ugly surprise.
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

銀行の架空口座を使った定番の詐欺がある。麻薬や児童ポルノなどの違法商品をネット上で売買する際に、犯罪者にとって頭が痛いのは代金の決済方法だ。実名で開設した口座を利用するとすぐに足がつく。そこで登場するのが架空口座だ。架空口座は闇市場で売買されている。そうして入手した架空口座は決済方法として問題なく使えるのだが、ある日突然、この口座残高がゼロになる。架空口座を販売していた側が、暗証番号やパスワードを変更しなかった間抜けな購入者から残高を盗むのだ。

今回のニュースも犯罪者が犯罪者を狙ったサイバー攻撃だ。RAT「Cobian」にバックドアが仕掛けられており、最初の攻撃者が感染させたPCが、真の支配者によって裏で管理されてしまうという。RAT利用者がこのバックドアに気がつく可能性は低く、もし見つけたとしても、警察に被害届けを出すわけにもいかないだろう。

マルウェアの作成ツールやソフトのアクティベーションクラッカーといった、アングラなソフトウェアに手出しをしてはいけない理由の1つはここにある。攻撃目的でなくても、これらのソフトウェアを使うと、被害者どころか、加害者にもなってしまう危険性があるからだ。10年前に、P2Pソフト「Winny」や「Share」利用者を狙ったマルウェアが流行し、数々の情報流出事件が発生した。しかし、被害者の多くは警察に被害届けは出さなかった。ダークウェブやアングラツールに、好奇心で手を出すと、必要以上に代償を払うハメになるので注意が必要だ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…