DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手

Hackers Using New Malware Packer DTPacker to Avoid Analysis, Detection

2022/01/24 TheHackerNews — DTPacker という名前の、これまで文書化されていなかったマルウェア・パッカーが、Agent Tesla/Ave Maria/AsyncRAT/FormBook などの複数の Remote Access Trojan (RAT) や情報窃取ツールなどを配布し、情報を略奪して後続の攻撃を容易にしていることが確認された。

企業向けセキュリティ企業である Proofpoint は、月曜日に発表した分析結果の中で、「このマルウェアは、複数の難読化技術を用いて、アンチウイルス/サンドボックス/分析などを回避している。このマルウェアは、アンダーグラウンドなフォーラムで配布されている可能性が高い」と述べている。

この .NETベースのコモディティ・マルウェアは 2020年以降に、数十のキャンペーンや Advanced Persistent Threat (APT) などの脅威グループに関連しており、数多くの分野における数百の顧客を狙った侵入を行ってきた。

このパッカーが関与する攻撃チェーンは、最初の感染経路としてフィッシング・メールを利用する。このメールには、悪意のドキュメントや圧縮された添付ファイルが含まれており、これを開くと、パッカーが展開されマルウェアが起動する。

一般的に、パッカーはダウンローダーとは異なり、難読化されたペイロードを持ち、バイナリを守る鎧のような役割を果たし、リバース・エンジニアリングを困難にすることで、セキュリティソ・リューションから真の動作を隠している。

DTPacker の特異な点は、パッカーとダウンローダーという2と機能を備えていることだ。DTPacker の名前は、「trump2020」と「Trump2026」というドナルド・トランプをテーマにした2つの固定鍵を使って、最終的にペイロードを抽出/実行する、埋め込み型またはダウンロード型のリソースを符号化したものとされる。

このマルウェアは、政治家や政治団体を標的にしたものではなく、また標的となった被害者がこの鍵を目にすることもないため、作者が元米国大統領の名前を使ったのかは、現時点で不明である。

Proofpoint によると、2021年3月からは、サッカー・ファンクラブの Web サイトをおとりにして、マルウェアをホスティングする戦術に変更し、その1年前には TA2536 や TA2715 などのグループが独自のキャンペーンで採用するなど、さまざまな変化が確認されている。

研究者たちは、「DTPacker がパッカーとダウンローダーの両方に使用され、配信や難読化のバリエーションがある一方で、解読の一部として2つの固有の鍵を保持しているのは非常に珍しいことだ」と述べ、このマルウェアが当面の間、複数の脅威アクターにより使用されると予測している。

DTP Packer ではなく、Donald Trump Packer なのですね。その命名の理由は分からないけど、パッカーとダウンローダーの機能を持った、新たな脅威というわけです。これと似たような記事としては、2021年12月6日の「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」や、1月19日の「Prometheus という Crimeware-as-a-Service (CaaS):フィッシングとリダイレクトを促進」などがあります。よろしければ、カテゴリ APT も ご利用ください。

%d bloggers like this: