ダークウェブに巣食う「クロサギ」 闇市場で売られているRAT「Cobian」にバックドア

『Security Affairs』

September 13, 2017 09:30
by 『Security Affairs』

ダークウェブでは、マルウェアを提供し、またバイヤーの要望に応えてそれをカスタマイズしてくれるマルウェア作者やハッキングフォーラムを簡単に見つけることができる。

セキュリティ企業Zscalerの研究者たちは先日、闇市場で「Cobian」(コビアン)と呼ばれるリモートアクセス型トロイの木馬(RAT)が無償提供されているのを発見した。それは「njRAT」の名で知られる古いRATを土台とした、かなり素朴な悪性コードで、一般的なスパイ機能(たとえばキーロガー、ウェブカメラのハイジャック、スクリーンキャプチャなど)を実装しており、もちろん被害者のシステム上で攻撃者のコードを実行する機能も備えている。

「研究チーム『The Zscaler ThreatLabZ』は2017年2月以降、Cobian RATと呼ばれる新たなRATファミリーを観察してきた。このRATファミリーのビルダーは当初、闇市場に存在している複数のフォーラム(サイバー犯罪者がしばしばエクスプロイトやマルウェアのキットを売買するフォーラム)で宣伝されていた」とZscalerは記している
「このRATのビルダーは無償で提供されており、またnjRAT/H-Wormとの類似点が多かったので、我々はそれに注目した。当レポートには、その分析結果が記されている」

残念ながら、このRAT「Cobian」は暗号化されたライブラリに悪質な機能を隠している。そのコードは、RATに感染したマシンを「マルウェアの作者が」完全に制御できるようにするものだ。

そのコードは(Cobianの)作者によって利用される。「最初にマシンをCobainに感染させた詐欺師」を完全に切り離すために利用することもできる。

Zscalerの研究者たちは、Cobianビルダーキットに仕込まれたバックドアモジュールが、オリジナルの作者に管理されたPastebinのプリセットページと通信していることに気づいた。このようにして、Cobianは「オリジナルのマルウェア作者が利用しているC&Cサーバー」の現在のアドレスを手に入れる。しかし、それは検出されることを防ぐために、まず「第2レベルのオペレーター(編集部注:Cobianの利用者)がオンラインにいるかどうか」をチェックする。

オリジナルの作者の目的は、RAT「Cobian」を拡散しようとする第2のオペレーターの労力を利用し、大規模なボットネットを構築することなのではないかと、Zscalerの研究者たちは推測している。

「このキットを使ってマルウェアを拡散し、エンドユーザーから情報を盗もうとする『第2レベルのオペレーター』が、オリジナルの(Cobianの)作者に騙されているというのは皮肉なことだ。オリジナルの作者は基本的に、『第2レベルのオペレーターのボットネットを活用する巨大なボットネット』構築のためのクラウドソースのモデルを利用している」と彼らは結論づけた。
 
翻訳:編集部
原文:Malware writer is offering for free a malware dubbed Cobian RAT in the underground, but the malicious code hides an ugly surprise.
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

銀行の架空口座を使った定番の詐欺がある。麻薬や児童ポルノなどの違法商品をネット上で売買する際に、犯罪者にとって頭が痛いのは代金の決済方法だ。実名で開設した口座を利用するとすぐに足がつく。そこで登場するのが架空口座だ。架空口座は闇市場で売買されている。そうして入手した架空口座は決済方法として問題なく使えるのだが、ある日突然、この口座残高がゼロになる。架空口座を販売していた側が、暗証番号やパスワードを変更しなかった間抜けな購入者から残高を盗むのだ。

今回のニュースも犯罪者が犯罪者を狙ったサイバー攻撃だ。RAT「Cobian」にバックドアが仕掛けられており、最初の攻撃者が感染させたPCが、真の支配者によって裏で管理されてしまうという。RAT利用者がこのバックドアに気がつく可能性は低く、もし見つけたとしても、警察に被害届けを出すわけにもいかないだろう。

マルウェアの作成ツールやソフトのアクティベーションクラッカーといった、アングラなソフトウェアに手出しをしてはいけない理由の1つはここにある。攻撃目的でなくても、これらのソフトウェアを使うと、被害者どころか、加害者にもなってしまう危険性があるからだ。10年前に、P2Pソフト「Winny」や「Share」利用者を狙ったマルウェアが流行し、数々の情報流出事件が発生した。しかし、被害者の多くは警察に被害届けは出さなかった。ダークウェブやアングラツールに、好奇心で手を出すと、必要以上に代償を払うハメになるので注意が必要だ。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…