Golden Chickens という Malware-as-a-Service:背後で操る人物を追跡せよ

Experts Uncover the Identity of Mastermind Behind Golden Chickens Malware Service

2023/01/27 TheHackerNews — Golden Chickens という Malware-as-a-Service の背後にいる脅威アクターの身元が、現実世界でのオンライン・ペルソナ “badbullzvenom” として活動している人物であると、サイバー・セキュリティ研究者たちが明らかにした。eSentire の Threat Response Unit (TRU) は、16ヶ月に及ぶ調査を経て発表した包括的なレポートの中で、「2人の人物が “badbullzvenom” アカウントを共有されているという、複数の言及を発見した」と述べている。


この2人のうちの Frapstar として知られる脅威アクターは、Chuck from Montreal という名を持つと言われており、eSentire により、この犯罪者のデジタル・フットプリントが整理/確認されたという。

収集された情報に含まれるものは、本名/写真/住所/両親/兄弟/友人/ソーシャルメディア・アカウント、そして趣味などである。また、彼は、自宅で経営している中小企業の個人事業主であるとも言われている。

Venom Spider としても知られる Golden Chickens は、Malware-as-a-Service (MaaS) プロバイダーであり、連携先として、悪意の文書作成するソフトウェア Taurus Builder や、追加ペイロードを提供する JavaScript ダウンローダー More_eggs などの、多様なツールがあるという。

この脅威アクターのサイバー兵器を使用するサイバー犯罪グループには、Cobalt Group (別名:Cobalt Gang)/Evilnum/FIN6 などがいて、これらの全てを合わせると $1.5 billion の損失をもたらしたと推定される。


これまでの More_eggs キャンペーンには、2017年まで遡るものもある。その手口はスピアフィッシングであり、LinkedIn 上のビジネス・プロフェッショナルに偽の求人情報を送りつけ、被害者のマシンを遠隔操作し、情報採取やマルウェア展開にいたるというものだった。

しかし、2022年に用いられた手口は、企業の採用担当者を対象として、マルウェアが仕込まれた履歴書を、感染経路として使用するものだった。Frapster の活動で、最も古い記録は 2015年5月に遡る。この人物について、Trend Micro は「孤独な犯罪者」や「高級車愛好家」と表現している。

eSentire 研究者である Joe Stewart と Keegan Keplinger は、「Chuck は、アンダーグラウンドフォーラム/ソーシャルメディア/Jabber のアカウントにおいて、複数のエリアスを使用している。この脅威アクターはモルドバ出身を自称し、自身を偽装するために多大な努力を払っている。また、Golden Chickensマルウェアを難読化するために多大な労力を費やし、ほとんどの AV 製品で検出できないようにし、Golden Chickens に依存する顧客の用途を、標的型攻撃だけに限定している」と述べている。

Exploit.in のアンダーグラウンドフォーラムで badbullzvenom アカウントを運用している、2人の脅威アクターのうちの1人が Chuck であり、もう1人はモルドバ/ルーマニアに所在する可能性があると、eSentire は指摘している。

同社は、電子商取引企業を標的とした、新しい攻撃キャンペーンも発見したと述べている。その手口は、採用担当者を騙して、履歴書を装う Web サイトから不正な Windowsショートカット・ファイルをダウンロードさせるというものだ。

このショートカットは、VenomLNK と呼ばれるマルウェアであり、More_eggs/TerraLoader をダウンロードさせる最初のアクセス・ベクターとして機能する。ただし、その後においても、TerraRecon (プロファイリング窃取)/TerraStealer (情報窃取)/TerraCrypt (ランサムウェア強奪) などのモジュールを展開するものであり、現在も活発に利用されているという活。

研究者たちは、「このマルウェアは、現在も活発に開発されており、他の脅威者に販売されている。したがって、それぞれのユーザー組織は、フィッシングの可能性に警戒する必要がある」と警戒を促している。

Golden Chickens という Malware-as-a-Service の特定と、それを操る人物の追跡に関する記事です。こうして、新たな脅威が調査/分析されていくのだと、訳しながら感心してしまいました。Malware-as-a-Service に関しては、以下の記事がありますので、よろしければ、ご参照ください。

2022/10/25:Raccoon Stealer が解体:MaaS 運営者が逮捕/起訴
2022/02/17:2022年の脅威を予測する:MaaS と・・・
2021/08/12:Rust で書かれた Ficker MaaS はロシアから世界を狙う
2021/08/05:Prometheus TDS という MaaS とトラフィック操作

%d bloggers like this: