ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア

『Security Affairs』

September 13, 2017 09:30
by 『Security Affairs』

ダークウェブでは、マルウェアを提供し、またバイヤーの要望に応えてそれをカスタマイズしてくれるマルウェア作者やハッキングフォーラムを簡単に見つけることができる。

セキュリティ企業Zscalerの研究者たちは先日、闇市場で「Cobian」(コビアン)と呼ばれるリモートアクセス型トロイの木馬(RAT)が無償提供されているのを発見した。それは「njRAT」の名で知られる古いRATを土台とした、かなり素朴な悪性コードで、一般的なスパイ機能(たとえばキーロガー、ウェブカメラのハイジャック、スクリーンキャプチャなど)を実装しており、もちろん被害者のシステム上で攻撃者のコードを実行する機能も備えている。

「研究チーム『The Zscaler ThreatLabZ』は2017年2月以降、Cobian RATと呼ばれる新たなRATファミリーを観察してきた。このRATファミリーのビルダーは当初、闇市場に存在している複数のフォーラム(サイバー犯罪者がしばしばエクスプロイトやマルウェアのキットを売買するフォーラム)で宣伝されていた」とZscalerは記している
「このRATのビルダーは無償で提供されており、またnjRAT/H-Wormとの類似点が多かったので、我々はそれに注目した。当レポートには、その分析結果が記されている」

残念ながら、このRAT「Cobian」は暗号化されたライブラリに悪質な機能を隠している。そのコードは、RATに感染したマシンを「マルウェアの作者が」完全に制御できるようにするものだ。

そのコードは(Cobianの)作者によって利用される。「最初にマシンをCobainに感染させた詐欺師」を完全に切り離すために利用することもできる。

Zscalerの研究者たちは、Cobianビルダーキットに仕込まれたバックドアモジュールが、オリジナルの作者に管理されたPastebinのプリセットページと通信していることに気づいた。このようにして、Cobianは「オリジナルのマルウェア作者が利用しているC&Cサーバー」の現在のアドレスを手に入れる。しかし、それは検出されることを防ぐために、まず「第2レベルのオペレーター(編集部注:Cobianの利用者)がオンラインにいるかどうか」をチェックする。

オリジナルの作者の目的は、RAT「Cobian」を拡散しようとする第2のオペレーターの労力を利用し、大規模なボットネットを構築することなのではないかと、Zscalerの研究者たちは推測している。

「このキットを使ってマルウェアを拡散し、エンドユーザーから情報を盗もうとする『第2レベルのオペレーター』が、オリジナルの(Cobianの)作者に騙されているというのは皮肉なことだ。オリジナルの作者は基本的に、『第2レベルのオペレーターのボットネットを活用する巨大なボットネット』構築のためのクラウドソースのモデルを利用している」と彼らは結論づけた。
 
翻訳:編集部
原文:Malware writer is offering for free a malware dubbed Cobian RAT in the underground, but the malicious code hides an ugly surprise.
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

銀行の架空口座を使った定番の詐欺がある。麻薬や児童ポルノなどの違法商品をネット上で売買する際に、犯罪者にとって頭が痛いのは代金の決済方法だ。実名で開設した口座を利用するとすぐに足がつく。そこで登場するのが架空口座だ。架空口座は闇市場で売買されている。そうして入手した架空口座は決済方法として問題なく使えるのだが、ある日突然、この口座残高がゼロになる。架空口座を販売していた側が、暗証番号やパスワードを変更しなかった間抜けな購入者から残高を盗むのだ。

今回のニュースも犯罪者が犯罪者を狙ったサイバー攻撃だ。RAT「Cobian」にバックドアが仕掛けられており、最初の攻撃者が感染させたPCが、真の支配者によって裏で管理されてしまうという。RAT利用者がこのバックドアに気がつく可能性は低く、もし見つけたとしても、警察に被害届けを出すわけにもいかないだろう。

マルウェアの作成ツールやソフトのアクティベーションクラッカーといった、アングラなソフトウェアに手出しをしてはいけない理由の1つはここにある。攻撃目的でなくても、これらのソフトウェアを使うと、被害者どころか、加害者にもなってしまう危険性があるからだ。10年前に、P2Pソフト「Winny」や「Share」利用者を狙ったマルウェアが流行し、数々の情報流出事件が発生した。しかし、被害者の多くは警察に被害届けは出さなかった。ダークウェブやアングラツールに、好奇心で手を出すと、必要以上に代償を払うハメになるので注意が必要だ。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…