Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント

Ducktail information stealer continues to evolve

2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business/Ads プラットフォームの組織/個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。

彼らは、Facebook Business アカウントにアクセスできるユーザーに対して、情報窃取型マルウェアを仕掛け、ターゲットのブラウザからクッキーを盗み、認証された Facebook セッションを悪用することで、被害者の Facebook アカウントから情報を盗み出す。


脅威アクターのターゲットとなるのは、企業の管理職/デジタル・マーケティング/デジタル・メディア/人事などの役割を担うユーザーである。脅威アクターたちは、LinkedIn を介してターゲットに接触していたが、専門家たちが観察したサンプルの中には、Dropbox/iCloud/MediaFire などのファイルや、クラウド・ホスティング・サービスを介する事例もあった。

Ducktail キャンペーンは、しばらく休止した後に、その TTP に若干の変更を加えて再来した。

2022年9月6日に研究者たちが検出した、野放し状態で悪用されている新たな亜種のサンプルでは、.NET コードからバイナリへのネイティブ・コンパイルが可能な、.NET 7 NativeAOT 機能が利用されている。これらのバイナリの形式は、従来の .NET アセンブリで使用されていた形式とは異なるものだ。

WithSecure のレポートには、「NativeAOT は、従来の Ducktail の亜種がコンパイルに使用していた、.NET シングル・ファイル機能と同様の利点を持っている、さらに、被害者のマシンへの .NET ランタイムのインストールが不要であり、フレームワーク非依存のバイナリとしてコンパイルできるため、その利点を享受できる」と記されている。

2022年10月2日〜4日にかけて WithSecure は、新しい Ducktail サンプルがベトナムから VirusTotal に投稿されていることを発見した。このサンプルには、新旧の Ducktail 亜種のコードベースが混在し、自己完結型の .NET Core 3 Windows バイナリとしてコンパイルされている。つまり、このグループが、自己完結型のアプリケーションにシフトしていることが示唆される。同グループのオペレーターは、10月5日に NativeAOT を放棄し、自己完結型の .NET バイナリの使用に切り替え、.NET Core Windows バイナリとして Ducktail マルウェアを被害者に配布し始めている。

.NET Core 3 で書かれた亜種を分析したところ、GitHub リポジトリからコピーされたと思われる、未使用のアンチ解析関数が存在することが判明した。それは、脅威アクターが解析/検出メカニズムを回避するために、継続的に努力していることを示すもう1つの事例となる。

WithSecure は、最終的なペイロードの配信に使用される、Ducktail の各段階で亜種を観測している。すべてのケースにおいて、それらが主要な情報スティーラー・マルウェアであることを、研究者たちは強調している。

WithSecure は、「このマルウェアは、C&C チャンネルとして未だに Telegram に依存している。本稿執筆時点において、最新のキャンペーンでは、3つのアクティブな Telegram ボットとチャンネルが観測されている。脅威アクターたちは、最初に発見されたときと同じ Telegram チャットを再利用しており、ボットおよびアクセストークンだけが、より厳しい管理者権限でリフレッシュされたことを示している。最新のキャンペーンで観察された興味深い変化は、Telegram の C&C チャンネルに複数の管理者アカウントが含まれるようになったことであり、脅威アクターがアフィリエイト・プログラムを実行している可能性を示していると、結論付けている。

7月25日の「Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心」で、この経路により問題が生じていることをお伝えしましたが、そこで用いられるマルウェアに進化が見られるようです。また、10月14日の「Ducktail の PHP バージョン:Facebook ビジネス・アカウントの窃取を狙っている」では、そのキルチェーンなどが紹介されています。