New Backdoor Created Using Leaked CIA’s Hive Malware Discovered in the Wild
2023/01/16 TheHackerNews — 2017年11月の WikiLeaks インシデントにより、ソースコードが公開された米国中央情報局 (CIA) のマルチ・プラットフォーム型マルウェア・スイート Hive だが、その機能を借用した新たなバックドアを、正体不明の脅威アクターが展開していることが判明した。先週に公開された技術文書において、Qihoo Netlab 360 の Alex Turing と Hui Wang は、「CIA Hive 攻撃キットの亜種が、野放し状態で活動している状況を捕捉し、埋め込まれた Bot 側証明書 CN=xdr33 に基づき、xdr33 と命名した」と述べている。
この xdr33 は、F5 アプライアンスにおける不特定多数の N-Day 脆弱性を悪用して、伝播すると言われている。そして、Kaspersky の証明書を偽造した SSL を用いて、Command and Control (C2 Server) サーバと通信する。
Qihoo Netlab 360 は、このバックドアの目的は、機密情報を採取し、その後の侵入のための基盤を作ることだと述べている。このバックドアは、Hive に新たな C2 命令と機能を追加し、その他の実装を変更することで改良されている。
この ELF サンプルは、定期的にリモートサーバへ向けて、システムのメタデータを流出させ、C2が 発行するコマンドを実行することで、Beacon として動作する。
そこに含まれる機能としては、任意のファイルのダウンロードとアップロード/cmd を用いたコマンドの実行/シェルの起動に加えて、侵害したホストからの自身の痕跡の更新/消去などがある。
また、このマルウェア組み込まれた Trigger モジュールは、パケットのネットワークトラフィックを盗聴し、IP パケットのペイロードに記載された C2 サーバを抽出して、接続を確立た後に待機し、C2 が送信したコマンドの実行するように設計されている。
研究者たちは「Trigger C2 と Beacon C2 は、その通信の内容において、詳細が異なる点に注意してほしい。SSL トンネルを確立した後に、この Bot と Trigger C2 は、AES で使用される共有キーを確立するために Diffie-Hellman キー交換を行う。つまり、暗号化の第2層を作成するためのアルゴリズムである」と説明している。
2017年11月の WikiLeaks インシデントで暴露された、CIA の Hive マルウェアを利用するアクティビティが、新たに検出されたようです。この記事を読む限り、C2 通信のスティルス化という部分が、ずいぶんと強化されているようです。WikiLeaks と Snowden のインシデントから、もう5年も経っているのですね。もう忘れてしまったという方には、Amazon Prime の シチズンフォー スノーデンの暴露(字幕版) がオススメです。
IoT OT Security News 
You must be logged in to post a comment.