PureCrypter used to deliver AgentTesla to govt organizations
2023/02/27 SecurityAffairs — PureCrypter マルウェア・ローダーを使用し、政府機関を標的としたキャンペーンを展開する未知の脅威アクターを、Menlo Labs の研究者たちが発見した。このキャンペーンは、侵害した NPO のドメインを C2 サーバとして悪用して、Redline Stealer/AgentTesla/Eternity/Blackmoon/Philadelphia Ransomware などのマルウェアを配信し、セカンド・ステージ・ペイロードを展開しようとするものだ。専門家たちが発見したのは、アジア太平洋地域 (APAC) /北米の複数の政府系組織に対する、複数のマルウェア配信の試みである
PureCrypter は、RAT (Remote Access Trojans) や情報スティーラーのダウンロードのために使用される高度なダウンローダーであり、2021年3月から hxxps[://]purecoder.selix.io/ で販売されている。
Menlo Labs のレポートには、「政府機関を標的として、PureCrypter ダウンローダーを搭載したマルウェアを、Discord 経由で配布するキャンペーンを展開する、未知の脅威アクターを発見した。私たちの調査では、AgentTesla が FTP サーバへの接続を確立し、盗み出した被害者の認証情報を、そこに保存していることが判明している。その FTP サーバが乗っ取られたようであり、ドメインの漏えいした認証情報がオンラインで発見された。それが示唆するのは、これらの認証情報を使って、脅威アクターたちがサーバにアクセスしたことである」と詳述されている。
この攻撃チェーンはスピアフィッシング・メールから始まるが、そこに含まれる Discord アプリの URL は、PureCrypter マルウェアを取り込みパスワードで保護された ZIP アーカイブを指している。
PureCrypter を実行すると、C2 から第2段階のペイロードが取得される。研究者たちが観測した攻撃では、この C2 は NPO の侵害したサーバであり、最終的なペイロードは AgentTesla だったという。
Agent Tesla は多くのサイバー犯罪者に使用されているスパイウェアであり、また、 “コモディティ・マルウェア“ でもあり、カスタマイズが可能となっている。
実行された AgentTesla は、盗み出したデータを保管するために、パキスタンにある FTP サーバに接続する。そして、Process Hollowing と呼ばれる技術により、標準的な Windows プロセスである cvtres.exe にペイロードを注入する。
さらに AgentTesla は、XOR アルゴリズムを使用してコンフィグ・ファイルを暗号化する。しかし幸いなことに、専門家たちは、被害者のデータがアップロードされる FTP サーバの、Command and Control の詳細を含むファイルを復号化した。
Menlo のレポートは、「この脅威アクターは、脅威の全体像における主要プレーヤーではないようだが、政府機関を標的にしているため、警戒すべきであることは確かだ」と結んでいる。
社会的に信頼されている NPO のドメインを悪用して、偽の Discord をダウンロードさせ、そこからマルウェアを展開してくという悪質なキャンペーンです。しかも、狙いは政府機関とのことですが、それに引っかかる職員がいるということなのでしょう。最近のマルウェア調査の結果は、以下のとおりです。
2023/02/14:2023年1月のマルウェア:AgentTesla は2位
2022/12/14:マルウエア調査:11月の1位は AgentTesla
2022/11/09:マルウェア調査:10月の1位は AgentTesla
IoT OT Security News 
You must be logged in to post a comment.