Tox P2P Messenger とクリプトマイナー:IPFS 上の C2 サーバとして重宝される

Crypto Miners Using Tox P2P Messenger as Command and Control Server

2022/08/24 TheHackerNews — 脅威アクターたちは、Tox P2P Messenger を Command and Control Server (C2) の手段として使用し始め、ランサムウェアの交渉のための連絡手段という、以前の役割を拡大しているようだ。Uptycs の調査結果では、ボットとして機能する ELF (Executable and Linkable Format) アーティファクト “72client” を分析し、侵入したホスト上で Tox プロトコルを用いてスクリプトを実行できることを明らかにした。

Tox は、オンライン通信用のサーバーレス・プロトコルであり、暗号化と認証にNetworking and Cryptography library (NaCl : ソルト) を利用することで、End-to-End Encryption (E2EE) 保護を提供する。


研究者である Siddharth Sharma と Nischay Hedge は、「野放し状態で悪用されているバイナリは、動的な実行ファイルであり、逆コンパイルが容易になっている。バイナリ全体は、C で書かれているようであり、c-toxcore ライブラリを静的にリンクしているだけだ」と述べている。

注目すべきは、c-toxcore が Tox プロトコルのリファレンス実装であることだ。


Uptycs が行ったリバース・エンジニアリングによると、ELF ファイルは、Linux のテンポラリ・ファイル作成用のディレクトリである “/var/tmp/” にシェルスクリプトを書き込んで起動し、cryptominer 関連のプロセスを停止するコマンドを実行するよう設計されているとのことだ。

また、2番目のルーチンも実行され、システム上で複数の特定のコマンド (nproc/whoami/machine-id など) を実行し、その結果を UDP 経由で Tox の受信者に送信できるようになる。

さらに、このバイナリには、Tox を介して異なるコマンドを受信する機能があり、これに基づくシェルスクリプトの更新や、アドホックな実行も可能となる。そして、”exit” コマンドを発行すると、Tox の接続が終了する。

Tox は、これまでランサムウェア交渉における通信手段として利用されてきたが、今回の発見で明らかになったのは、感染マシン上で任意のスクリプトを実行するための、プロトコルとしての利用である。

研究者たちは、「今回、取り上げたサンプルは、明確な悪意を持って何かを行うわけではないが、コインマイナー・キャンペーンの構成要素であるように見える。したがって、攻撃の連鎖に関与するネットワーク・コンポーネントを、監視することが重要になる」と述べている。

また、IPFS として知られる分散型ファイルシステム・ソリューションが、テイク・ダウンをより困難にするため、フィッシング・サイトのホスティングで重宝されるという報告の中で、この開示が行われた。

Tox というオンライン通信用のプロトコルがあり、それを利用する Tox という P2P メッセンジャーがあるようです。そして、Tox は Telegram のように、ランサムウェアの交渉のための連絡手段に使われていたが、攻撃のためのツールとして役割を拡大しているとのことです。Tox について、このブログ内を検索したとろ、8月15日の「PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布」に登場していました。そこでは、専門家たちの見解として、「さらに、secretslib パッケージは、”tox” を実行すると自身を直ぐに削除し、tox により注入された暗号化コードは、ハードドライブではなくシステムの RAM 上にのみ存在することになる。したがって、悪意のアクティビティの足跡はほとんど残らず、フォレンジックによる検出が難しいものとなる」と指摘されていました。よろしければ、IPFS で検索も、ご利用ください。

%d bloggers like this: