A Wide Range of Cyber Attacks Leveraging Prometheus TDS Malware Service
2021/08/05 TheHackerNews — 複数のサイバー犯罪グループが、MaaS (Malware-as-a-Service) ソリューションを活用して、Campo Loader / Hancitor / IcedID / QBot / Buer Loader / SocGholish などのペイロードを展開する悪意のソフトウェア配布キャンペーンを、ベルギーの個人や米国の政府機関/企業/法人に対して実施している。この Prometheus というサービスは、2020年8月からアンダーグラウンドなプラットフォームで月額250ドルで販売されている。マルウェアが混入された Word や Excel のドキュメントを配布することで、ユーザーをフィッシング・サイトや悪意のサイトに誘導することを目的とした、TDS (Traffic Direction System) であることが、The Hacker News に共有された Group-IB の報告書で明らかになった。
銀行/金融/小売/エネルギー/鉱業/サイバー・セキュリティ/ヘルスケア/IT/保険などの分野の、3,000 以上の電子メール・アドレスが、Prometheus TDS による悪意のメール送信に利用されたようだ。Group-IB の研究者たちは、「Prometheus TDS は、悪意のあるファイルを配布し、訪問者をフィッシング・サイトなどにダイレクトさせるアンダーグラウンド・サービスである。このサービスは、Prometheus TDS の管理画面でコンフィグレーションが可能であり、攻撃者は悪意のキャンペーンに必要なパラメータなどを設定する。具体的には、悪意のファイルのダウンロードや、ユーザーの地理的位置、ブラウザのバージョン、OS などの制限を設定できる」と述べている。
このサービスは、第三者の感染した Web サイトを利用することでも有名だ。それらは、キャンペーン運用者により手動で追加され、攻撃者の管理パネルとユーザーの間の仲介者として機能する。それを実現するために、Prometheus.Backdoor という PHP ファイルが、侵害された Web サイトにアップロードされ、被害者に関するデータを収集して送り返す。それをベースにして、ユーザーへのペイロードの送信や、指定された URL へのリダイレクトが行われる。この攻撃スキームは、HTML ファイルで構成される電子メールおよび、特定の URL にリダイレクトさせる Web Shell へのリンクで始まる。
また、悪意のリダイレクト URL が埋め込まれた GoogleDoc を介して、オープンもしくはクリックにより、感染した Web サイトへの誘導が行われ、基本情報 (IP アドレス/ユーザー・エージェント/リファラー・ヘッダー/タイムゾーン/言語データ) が密かに収集され、Prometheus 管理パネルに転送される。最終段階では、この管理パネルから、ユーザーを特定の URL にリダイレクトするコマンドの送信や、マルウェアに感染した Word/Excel ドキュメントの送信が行われ、その直後には、悪意のアクティビティを隠すために、ユーザーを DocuSign や USPS などの正当なサイトにリダイレクトし、ファイルをダウンロードさせるという。
研究者たちは、Prometheus TDS は悪意のファイルを配布するだけでなく、従来のTDSとしても使用され、偽の VPN Web サイトや、疑わしいポータル、銀行のフィッシングサイトなどの悪意のサイトへ向けて、ユーザーをリダイレクトすることも発見している。彼らは、 「このようなサイトの運営者は、アフィリエイト・プログラムやパートナーシップ・プログラムを持っているケースが多い。それらのパートナーは、アフィリエイト・プログラム内の収益を増やすために、積極的な SPAM キャンペーンに頼ることもある。Group-IB スペシャリストは、Prometheus インフラスの分析により、ユーザーをリダイレクトするリンクとして、カナダの製薬会社に関連するサイトが判明した」と述べている。
このプログで、MaaS (Malware-as-a-Service) と TDS (Traffic Direction System) が登場するのは初めてのことです。RaaS があるくらいなので、MaaS には驚きませんでしたが、TDS は厄介なマルウェアだと思いました。ペアとなるペイドードも、あまり見ることのない顔ぶれが並んでいます。最近のマルウェア関連のポストとしては、「Black Hat キーノート:モバイル上のゼロデイ・マルウェア駆逐が必須」や「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」と並んで、とても興味深い記事でした。
IoT OT Security News 