2022/11/02 TheHackerNews — Raccoon Stealer が再び話題になっている。米国当局は、このプログラムの背後にいるマルウェア・アクターの一人である Mark Sokolovsky を逮捕した。2022年7月に Raccoon Stealer は閉鎖されたが、その数カ月後に Raccoon Stealer V2 が流行りだしている。先週の、司法省 (DoJ) プレスリリースによると、このマルウェアは 5,000万件のクレデンシャルを収集したとのことだ。この記事では、Raccoon Stealer V2 情報窃盗犯の最新バージョンについて簡単に説明していく。
Raccoon infostealer V2 とは?
Raccoon Stealer とは、感染させたコンピュータから様々なデータを盗み出すマルウェアの一種である。Raccoon は、かなり基本的なマルウェアではあるが、その優れたサービスとシンプルなナビゲーションを、ハッカーたちは好んでいる。
Raccoon infostealer は、2019年に最も話題になったマルウェアの1つである。このサイバー犯罪者は、$75/週および $200/月の対価と引き換えに、このシンプルで多機能な MaaS を販売した。このマルウェアは、多くのシステムを攻撃することに成功したが、2022年3月にはアクティビティを停止している。
そして、2022年7月には、このマルウェアの更新版がリリースされ、その結果として Raccoon Stealer V2 が流行し、RecordBreaker という新しい名前を獲得した。
Raccoon Stealer V2 の解析方法
| Execution process | What Raccoon malware does |
| Downloads WinAPI libraries | Uses kernel32.dll!LoadLibraryW |
| Gets WinAPI functions’ addresses | Uses kernel32.dll!GetProcAddress |
| Strings and C2 servers encryption | Encrypts with RC4 or XOR algorithm, can be no encryption at all, or combination of different option |
| Crash triggers | CIS countries locale, mutex |
| System/LocalSystem level privilege check | Uses Advapi32.dll!GetTokenInformation and Advapi32.dll!ConvertSidToStringSidW comparing StringSid with L “S-1-5-18” |
| Process enumeration | Uses the TlHelp32 API (kernel32.dll!CreateToolhelp32Snapshot to capture processes and kernel32.dll!Process32First / kernel32.dll!Process32Next). |
| Connecting to C2 servers | Creates a string: machineId={machineguid}|{username}&configId={rc4_c2_key}Then sends a POST request |
| User and system data collection | the OS bitnessinformation about RAM, CPUapplications installed in the systemcookiesautofill dataautofill form data |
| Sending of collected data | POST requests to C2. |
| Getting an answer from the C2 | C2 sends “received” |
| Finishing operations | Takes a screenshot(s), releases the remaining allocated resources, unloads the libraries, and finishes its work |
私たちは、複数の Raccoon Stealer V2 サンプルに対して優先順位付けを行い、典型的な動作アクティビティを収集し、上記のように実行プロセスを簡単に説明した。
より詳細な情報が必要な場合には、Any.Run の Raccoon Stealer 2.0 Malware Analysis を参照してほしい。この記事では、すべてのステップをたどることで、このインフォステラーの全体像を把握することが可能だ。また、Raccoon Stealer の Python スクリプトをコピーし、メモリ・ダンプを展開して、C&C サーバとキーの抽出も可能である。
10月25日にポストした「Raccoon Stealer が解体:ウクライナ人の Malware-as-a-Service 運営者が逮捕/起訴」にも、「6月上旬に、Raccoon Stealer の活動は C/C++ を使用してゼロから構築され」と記されていました。上記の Any.Run のレポートは、かなり詳細な内容となっていますので、よろしければ、ぜひ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.