Experts Shed Light On New Russian Malware-as-a-Service Written in Rust
2021/08/12 TheHackerNews — ロシアのアンダーグラウンド・フォーラムで販売/配布されている新種のマルウェアは、セキュリティの保護や解析を回避し、リバース・エンジニアリング作業を妨害するために、Rust で書かれるという新たな傾向を示している。この Ficker Stealer という名のマルウェアは、トロイの木馬化した Web リンクや、危険な Web サイトを経由して伝播し、Spotify Music や YouTube Premium やMicrosoft Store などの正規サービスの、無料ダウンロードを提供するという詐欺ページに被害者を誘い込む。
今日のレポートで BlackBerry の Research and Intelligence Team は、「Ficker は、ロシアの地下オンライン・フォーラムを通じて、MaaS (Malware-as-a-Service) として販売/配布されている。その作成者は、@fickerという偽名で、いくつかの有料パッケージを提供しているが、悪意のプログラムを使用するレベルに応じて、異なるサブスクライブ料が設定されている」と述べている。
この Windows ベースのマルウェアは、2020年8月にワイルドな活動が確認された。具体的には、ログイン認証情報や、クレジットカード情報、暗号通貨ウォレット、ブラウザ情報などの、機密情報を盗むために使用されるほか、感染したマシンから機密ファイルを取得するツールとしても機能し、追加の第二段階のマルウェアをダウンロードして実行するための、ダウンローダーとしても機能する。さらに Ficker はスパム・キャンペーンにより配信されることも知られている。このキャンペーンでは、標的を絞ったフィッシング・メールに、武器となるマクロベースの Excel 文書を添付して送信し、この文書を開くと Hancitor ローダーがダウンロードされる仕組みになっている。Hancitor ローダーは、検出を回避して活動を隠蔽するために、Process Hollowing と呼ばれる技術を使用して、最終的なペイロードを注入する。
発見されてから数ヶ月の間に、このデジタル脅威は DocuSign をテーマにしたルアーを活用し、攻撃者が管理するサーバーから Windows バイナリをインストールすることが確認されている。先月の CyberArk による Ficker マルウェア調査においては、その高度に難読化された性質と Rust roots が指摘され、分析は不可能ではないが極めて困難だとされる。BlackBerry の研究者たちは、「偽の DocuSign 文書が開かれ、悪意のマクロ・コードの実行が許可されると、大半のケースにおいて Hancitor は C2 インフラに連絡を取り、Ficker のサンプルを含む悪意の URL からのダウンロードが行われる」と述べている。
このマルウェアは難読化技術に頼るだけではなく、解析防止チェックの組み込みや、アルメニア、アゼルバイジャン、ベラルーシ、カザフスタン、ロシア、ウズベキスタンに所在するマシンでの実行禁止などにも対応している。また、Ficker は、従来からの情報窃取プログラムとは異なり、盗んだデータをディスクに書き込むのではなく、コマンドの実行により、オペレーターにダイレクトに情報を流出させるよう、デザインされている点も特筆すべきだ。Ficker は、画面キャプチャー機能も備えており、リモートのマルウェア運用者による、被害者の画面キャプチャにも対応している。また、このマルウェアが C2 との接続を確立すると、ファイルの取得や追加のダウンロードも可能になる。Ficker の C2 に情報が送り返されると、マルウェアの所有者は全てのデータにアクセス/検索することが可能になる。
7月にポストした「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」には、これらの新しい言語が、脅威アクターにとって魅力的な理由が説明されています。Rust は、オーバーヘッドが少なく、パフォーマンスが良く、一般的な言語に見られるペイン・ポイントの回避に役立つ、と節米されていました。もちろん、解析もされにくいようです。そのときに、なるほどと思いましたが、具体的な事例が、こうも早く出てくるとは想像もしませんでした。逃げる側の進化のスピードに驚きます。
IoT OT Security News 