Microsoft の Digital Crimes Unit が Zloader マルウェアのグローバル・インフラを破壊

Microsoft disrupts Zloader malware in global operation

2022/04/13 BleepingComputer — Microsoft の Digital Crimes Unit (DCU) が主導する、数カ月にわたるグローバルな作戦により、ZLoader ボットネットの Command and Control (C2) サーバーとして使用されていた数十のドメインが破壊された。Microsoft が取得した裁判所命令により、ZLoader サイバー犯罪組織がボットネットの制御に使用していた 65 のハードコード・ドメインと、フォールバック/バックアップ通信チャネルの作成で使用していた、ドメイン生成アルゴリズムをにより登録された 319 のドメインを陥落させることになった。


DCU の GM である Amy Hogan-Burney は、「調査の結果、ランサムウェアを配布する ZLoader ボットネットで使用されている、コンポーネントを作成した犯人の一人が、クリミア半島のシンフェロポリ市に住む Denis Malikov であることが判明しました。サイバー犯罪者がインターネットの匿名性に隠れて、犯罪を犯すことが許されないことを明確にするために、この件に関連して個人名を挙げることにした」と説明している。

ESET/Black Lotus Labs。Palo Alto Networks Unit 42/Avast などの、世界中の通信事業者とサイバーセキュリティ企業が、調査活動を通じて Microsoft のセキュリティ研究者に協力した。また、Sharing and Analysis Centers (FS-ISAC) や Information Sharing and Analysis Center (H-ISAC) も、法的根拠の強化に役立つデータや洞察を提供した。

ZLoader attacks heat map
ZLoader attacks heat map (Microsoft)

Zloader (別名:Terdot/DELoader) は、英国金融会社の顧客たちに対する攻撃で展開された銀行向けトロイの木馬であり、2015年8月に発見されたものだ。

今日、Microsoft 365 Defender Threat Intelligence Team は、「その機能には、スクリーンショットのキャプチャ/クッキーの収集/認証情報と銀行データの窃取/偵察の実行/永続化メカニズムの起動/正規のセキュリティツールの悪用/攻撃者へのリモートアクセスの提供などがある。Zeus Panda や Floki Bot と同様に、このマルウェアが、10年以上前にオンラインで流出した Zeus v2 トロイの木馬のソースコードを、ベースにしていることは明らかだ」と述べている。

このマルウェアは、オーストラリアやブラジルから北米にいたるまで、世界中の銀行を標的として使用されており、ソーシャル・エンジニアリングを用いて、感染させた銀行の顧客を騙して認証コードや認証情報を提供させる、Web インジェクションにより財務データを採取することが最終目的とされる。

Zloader は、バックドアやリモートアクセスの機能も備えており、感染させたデバイスに追加のペイロードを投下する、マルウェア・ローダーとしても使用できる。
最近では、複数のランサムウェア・ギャングのオペレーターが、Ryuk や Egregor などの悪意のペイロードを展開するために、このソフトウェアを使用することがある。
ESET と Microsoft 365 Defender Threat Intelligence Team によるレポートでは、侵害の指標や防御のための技術に加えて、ZLoader 攻撃チェーンに関する詳細な情報が提供されている。

Microsoft vs. Zloader という対決構造は、2022年1月4日の「Zloader バンキング・マルウェアの新キャンペーン:Microsoft 署名検証を悪用」から始まっていたようです。それにしても、最近の Microsoft は、3月17日の「Microsoft が Trickbot 対策オープンソース・ツールを公表: MikroTik ルーターをスキャン」や、4月7日の「Microsoft がロシアの軍事サイバー・スパイ APT28 のドメインをダウンさせた」に見られるように、防御するだけではなく、脅威アクターたちのインフラを潰しにいくという姿勢を、明確に打ち出していますね。頑張って欲しいです。

%d bloggers like this: