SYS01stealer という情報スティーラーを発見:Facebook ビジネス・アカウントなどが標的

SYS01stealer: New Threat Using Facebook Ads to Target Critical Infrastructure Firms

2023/03/07 TheHackerNews — サイバー・セキュリティ研究者たちが発見したのは、政府/インフラ/製造業などを標的とする、SYS01stealer という名の新しい情報スティーラーである。 Morphisec は、「このキャンペーンのターゲットは、Facebook のビジネス・アカウントだ。この脅威アクターは、ゲーム/アダルトコンテンツ/クラックソフトウェアなどを宣伝する、Google 広告や Facebook の偽プロファイルを使用して、悪意のファイルをダウンロードするように、被害者たちを誘導する。この攻撃は、ログインデータ/クッキーだけではなく、Facebook ビジネスアカウント情報などの、機密情報を盗むために設計されている」と、The Hacker News と共有したレポートで詳述している。


イスラエルのサイバー・セキュリティ企業である Morphisec によると、このキャンペーンが発見された当初は、Zscaler が Ducktail と命名した、金銭的動機のあるサイバー犯罪者のオペレーションとの関連が疑われていたという。

しかし、Ducktail を 2022年7月に初めて文書化した WithSecure は、「両者の侵入経路は異なっている。この脅威アクターが、攻撃への追跡を困難にさせ、検出を回避した方法に、その違いが示されている」と述べている。


Morphisec によると、SYS01stealer の攻撃チェーンは、 Facebook の偽プロファイルや悪意の広告の URL をクリックした被害者に、クラック・ソフトウェアやアダルト・コンテンツを装う ZIP アーカイブを、ダウンロードさせることに成功した時点から始まるという。

ダウンロードされた ZIP ファイルを開くと、DLL サイドローディングに対して脆弱なベースローダー (通常は正規の C# アプリケーション) が起動され、悪意の DLL ファイルをアプリと一緒にロードすることが可能になる。


不正な DLL のサイドロードに悪用されるアプリには、Western Digital のWDSyncService.exe や、Garmin の ElevatedInstaller.exe などがある。また、サイドロードされた DLL は、Python や Rust ベースの中間実行ファイルを展開する手段として機能するケースもある。どのようなアプローチを採用しても、PHP ベースのマルウェア SYS01stealer をインストール/実行するインストーラが提供される。

SYS01stealer は、Chromium ベースの Web ブラウザ (Google Chrome/Microsoft Edge/Brave/Opera/Vivaldi など) から Facebook クッキーを取得し、被害者の Facebook 情報をリモート・サーバーに流出させ、任意のファイルをダウンロード/実行するよう設計されている。また、感染させたホストから C2 サーバにファイルをアップロードし、サーバから送信されたコマンドを実行し、新しいバージョンが利用可能になると自身を更新する機能も備えている。

この展開は、Bitdefender が公表した、S1deload という情報スティーラーのキャンペーンに類似している。S1deload キャンペーンの目的は、 ユーザーの Facebook/YouTube アカウント乗っ取り、侵害したシステムで暗号通貨のマイニングを行うことだ。

Morphisec は、「DLL サイドローディングは、Windows システムを騙して悪意のコードをロードする、きわめて効果的な手法である。アプリケーションがメモリにロードされたときに、検索順序が強制されないと、正規のファイルの代わりに悪意のファイルがロードされることがある。つまり、脅威アクターたちは、正規の署名されたアプリケーションを乗っ取り、悪意のペイロードのロード/実行が可能になる」と述べている。

この記事を読むと、DLL サイドローディングの怖さが分かります。それぞれのアプリケーションに付属する固有の DLL を悪用する戦術ですが、文中の検索順序に関する記述は DLL プリローディングに該当するのかもしれません。最近のDLL サイドローディングを用いる情報スティーラーについては、文中にもあるように、2023/02/23 の「S1deload Stealer という情報スティーラーが登場:Facebook/YouTube ユーザーが標的」で紹介しています。