Rust への移行を進める Agenda ランサムウェア:検出と解析を困難にする亜種

Agenda Ransomware Switches to Rust to Attack Critical Infrastructure

2022/12/16 InfoSecurity — Agenda ランサムウェア・グループは、プログラミング言語 Rust で記述した新しいマルウェアにより、複数の企業に侵入している。Trend Micro の研究者たちは、この新たなキャンペーンを発見し、「この脅威アクターは、企業のサーバへの侵入を主張するだけではなく、その窃取したファイルを公開すると脅している」と述べている。

本日に発表されたアドバイザリによると、このランサムウェア・グループがリークサイト主張しているのは、さまざまな国々に存在する、製造業や IT 産業への侵入である。これらの企業の売上を合計すると、$550m に達するという。


Trend Micro は、「最近のことだが、Rust 言語で書かれた Agenda ランサムウェアのサンプルが検出した。この亜種は、より高速な暗号化を実現し、より効率的に検出を回避するために、断続的に暗号化を行う戦術も保持している」と述べている。

同社は、「このランサムウェアは、元々 Go 言語で書かれており、タイやインドネシアなどの医療/教育分野を標的としていると認識されている。そして、この驚異アクターは、流出させたアカウントや企業 ID などの機密情報を、付加ファイル拡張子として使用することで、以前のランサムウェア攻撃用のバイナリで標的とした被害者に対して、カスタマイズを行っている」と付け加えている。

しかし、Agenda ランサムウェア・グループにおける、以前の Golang 亜種とは異なり、Rust 亜種のコンフィグレーションには、被害者の認証情報が含まれていないとTrend Micro は述べている。

同社は、「Rust 亜種の特徴により、外部からサンプルを入手した研究者たちであっても、このランサムウェアのチャット・サポート・サイトへの訪問や、脅威アクターの会話へのアクセスなどが不可能になる。また、この手法により脅威アクターは、被害者以外からの迷惑メッセージも防ぐことができるだろう」と指摘している。

Trend Micro は、「Agenda ランサムウェア・グループは、Rust へとランサムウェア・コードを徐々に移行している、数多くのグループの中の1つである。Rust 言語は、ランサムウェア・コードの解析を難しくし、アンチウイルス・エンジンによる検出率も低いため、脅威アクターたちの間で人気が高まっている」と述べている。

Android OS のセキュリティを高めたい Google も、このプログラミング言語の採用を増やしているという。

Rust と脅威アクターの関係については、2021年7月21日の「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか?」という記事が、とても印象に残っています。その一方で、2022年12月7日の「Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる」にあるように、脆弱性を抑えるための Rust の採用という側面もあります。よろしければ、Rust で検索も、ご利用ください。

%d bloggers like this: