Russian Hackers Heavily Using Malicious Traffic Direction System to Distribute Malware
2022/01/19 TheHackerNews — サブスクリプション・ベースの Crimeware-as-a-Service (CaaS) ソリューションと、クラックされた Cobalt Strike のコピーの連携が確立され、脅威アクターによる侵入後の活動を支えるツールとして提供されていると、研究者たちは疑っている。この種のサービスだと言われる Prometheus の存在は、サイバー・セキュリティ企業である Group-IB が、悪意のソフトウェア配布キャンペーンの詳細を開示した 2021年8月に明らかにされた。
このサイバー犯罪グループにより、ベルギーと米国において、Campo Loader/Hancitor/IcedID/QBot/Buer Loader/SocGholish などが配布された。
ロシアのアンダーグラウンド・フォーラムにおいて、月額 $250 で販売されている Prometheus は、標的となるシステム上にマルウェアのペイロードを展開するよう設計された不正なランディング・ページに、大規模なフィッシング・リダイレクトを可能にする Traffic Direction System (TDS) である。
BlackBerry Research and Intelligence Team が The Hacker News と共有したレポートでは、「Prometheus は、マルウェアやフィッシングの操作を、脅威グループが簡単に行うことを可能にする、総合的なサービス/プラットフォームと考えることができる。Prometheus の主な構成要素は、悪意のインフラとなる Web/悪意の電子メールの配信/正規サービスを利用した不正なファイル・ホスティング/トラフィックのリダイレクト/悪意のファイルの配信などの機能である」と述べられている。
リダイレクトに関して言えば、主に2つのソースの一方から流されるのが一般的である。1つ目は、正規の Web サイトに掲載された悪意の広告 (マルバタイジング) の助けを借りるものであり、2つ目は悪意のコードを挿入するために改ざんされた Web サイトを経由するものである。
Prometheus の場合、その攻撃の連鎖は、HTML ファイルまたは Google Docs ページを含む、スパムメールから始まる。これらのファイルにアクセスすると、PHP バックドアを搭載した危険な Web サイトにリダイレクトされる。このバックドアは、マシンのフィンガープリントを作成し、被害者へのマルウェアの注入、もしくは、フィッシング詐欺を含む別のページへのリダイレクトを決定する。
このサービスの運営者は、ハッキング・フォーラムでは “Ma1n” という名前を持ち、2018年10月には活動を開始したと言われている。具体的には、高品質のリダイレクトやフィッシングのための PowerMTA キットを提供する、他の不正ツールと連携していたが、2020年9月22日に Prometheus TDS として売りに出すことになった。
それに加えて BlackBerry は、「Prometheus 関連の活動と、Cobalt Strike の不正バージョンとの間に重複があることも発見した。そして、このコピーが Prometheus の運営者自身により拡散されている可能性がある」と指摘している。
研究者たちは、「Prometheus TDS の関係者が、このクラックされた Cobalt Strike のコピーを管理し、購入時に提供している可能性がある。また、このクラックされたイメージがが、標準的なプレイブックや VM インストールの一部として提供されている可能性もある」と述べている。
これらの指摘は、DarkCrystal RAT/FickerStealer/FIN7/Qakbot/IceID などの数多くの脅威アクターや、REvil/Ryuk (Wizard Spider)/BlackMatter/Cerber などのランサムウェア・カルテルが、これまでの2年間に、問題のクラックされたコピーを使用していたという事実により立証されている。
また、Cobalt Strike Beacon は、Zebra2104として追跡されている、初期アクセス・ブローカーに関連していることが確認されており、そのサービスは StrongPity/MountLocker/Phobos などのグループの、独自のキャンペーンで利用されている。
研究者たちは、「TDS は新しいコンセプトではないが、その複雑さ、サポートの充実度、経済的コストの低さなどから、近い将来において、脅威が増加する傾向にあると考えられる。Prometheus TDS のようなサービスを利用しているグループの増加は、このような違法なレンタル・インフラの成功と有効性を物語っている」と述べている。
Ransomware-as-a-Service (RaaS) があって、Phishing-as-a-Service (PHaaS) があって、今度は Crimeware-as-a-Service (CaaS) だそうです。ちなみに、Prometheus TDS に関しては、2021年8月に、Malware-as-a-Service (MaaS) に分類する記事もありました。なんというか、頭の痛くなる展開ですが、テクノロジーは常にダブルエッジですね。1月13日の「サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち」にあるように、クラウドを悪用する脅威アクターが増えているようです。
IoT OT Security News 