Parallax RAT Targeting Cryptocurrency Firms with Sophisticated Injection Techniques
2023/03/01 TheHackerNews — Parallax RAT と呼ばれるリモート・アクセス型トロイの木馬を配信する新しいキャンペーンにおいて、暗号通貨企業が標的にされている。Uptycs の最新レポートには、「このマルウェアは、インジェクション技術を用いて正規のプロセス内に潜伏し、検出を困難にしている。その注入を成功させた攻撃者は、おそらく通信チャネルとして機能する Windows Notepad を介して、被害者に接触するようになる。
具体的に言うと、Parallax RAT により、被害者のマシンにリモート・アクセスすることが、攻撃者に対して許可されてしまう。さらに、ファイルのアップロード/ダウンロードおよび、キーストローク/画面のキャプチャなどが可能になる」と記されている。
このマルウェアは 2020年初頭から実用化されており、以前は COVID-19 をテーマにしたルアーにより配信されていた。2022年2月に Proofpoint は、航空/宇宙/輸送/製造/防衛などの分野を標的とする、TA2541 と呼ばれるハッカー集団について詳述していたが、そこでは Parallax を含む各種の RAT が使用されていた。
第1段階のペイロードは Visual C++ マルウェアであり、Pipanel.exe という正規のWindows コンポーネントに対して、プロセスの空洞化技術を介した Parallax RAT の注入を行う。
Parallax RAT は、システムのメタデータを収集するほかに、クリップボードに保存されたデータへのアクセスを行い、マシンの終了/再起動をリモートからコントロールする。
この攻撃の注目すべき点は、Windows Notepad を用いて被害者との会話を開始し、驚異アクターが管理する Telegram チャネルへの接続を指示する点である。
Uptycs が Telegram チャットを分析したところ、この脅威者は、投資会社/取引所/ウォレット・サービス・プロバイダといった、暗号通貨企業に関心を持っていることが判明した。
その手口は、DNSdumpster などの公開ソースを検索して、Mail Exchanger (MX) レコードから標的企業のメールサーバを特定し、Parallax RAT マルウェアを搭載したフィッシング・メールを送信するというものだ。
Telegram が、犯罪活動の拠点となるケースが増えたことで、このような展開が生じている。Telegram の緩やかで節度ある運用により、脅威アクターが活動を組織化し、マルウェアを配布し、盗んだデータやなどを違法に販売することが可能になっているのだ。
KELA は、先月発表した詳細な分析において、「Telegram がサイバー犯罪者にとって魅力的な理由として、内蔵されている暗号化および、チャンネルやプライベート・グループを作成する機能が挙げられる。これらの機能により、法執行機関やセキ ュリティ研究者におり、このプラットフォーム上の犯罪活動の監視/追跡が困難になっている。さらに、サイバー犯罪者たちは、暗号化された言語と代替スペルを用いて Telegram 上で通信するため、その会話の解読がさらに困難になっている」と述べている。
暗号資産を狙う新たな RAT が、次から次へと登場してきます。2023/02/02 の「2022年に盗まれた暗号通貨は総額で $3.8bn 相当:北朝鮮へは $1.7bn が流れた」という記事は、この傾向の象徴だと思います。よろしければ、以下の金融関連記事を、ご参照ください。カテゴリ Finance もあります。
2023/02/13:PyPI に 451 個の悪意のパッケージ
2023/01/24:Ethereum $100M 相当が Harmony から
2022/12/21:GodFather というバンキング・トロイの木馬
IoT OT Security News 
You must be logged in to post a comment.