ThirdEye Infostealer Poses New Threat to Windows Users
2023/06/28 InfoSecurity — ThirdEye と呼ばれる新たなインフォ・スティーラー犯が、Windows ユーザーを標的にする可能性があるという。Fortinet の Threat Research Division である FortiGuard Labs は、6月27日 (火) に発表された技術文書で、この新しい脅威について説明している。その中で同社は、ThirdEye は侵害したマシンから貴重なシステム情報を抽出するように設計されており、将来のサイバー攻撃に悪用される可能性があると述べている。
さらに FortiGuard は、ThirdEye は技術的に精巧なものとは思えないが、機能として含まれるものには、BIOS やハードウェアのデータの採取/ファイルやフォルダの列挙/実行中のプロセスの特定/ネットワーク情報の収集などがあると説明している。
つまり、このマルウェアは洗練されたものではないが、侵害したマシンから各種の情報を盗むよう設計されており、将来の攻撃の足がかりとして、それらの情報は悪用される。
このマルウェアは、感染させたシステムの情報を収集した後に、それらの情報を Command and Control (C2) サーバへと送信する。注目すべきは、情報窃取者が C2 で自身を識別するために、”3rd_eye” というユニークな文字列を使用していることだ。
分析により明らかになったのは、2023年4月に発見された最も初期の亜種と比べて、最近のサンプルでは収集する情報が増えていることだ。つまり、時間の経過につれて、このインフォ・スティーラーは進化し、データ収集機能が追加されている。
さらに、ほとんどの ThirdEye 亜種はロシアから公開スキャンサービスに提出されており、最新の亜種はファイル名がロシア語であることから、ロシア語圏の組織に焦点を当てている可能性が示唆されている。
さらに、ThirdEye の大半の亜種は、ロシアのパブリックなスキャン・サービスに対して送信されている。また、最新の亜種のファイル名はロシア語になっているため、ロシア語圏の組織に焦点が当てられていると示唆される。
FortiGuard の調査によると、ThirdEye が攻撃に使用されているという、具体的な証拠は見つかっていないようだ。しかし、このマルウェア・ツールに対して、システム防御者は警戒する必要があると強調されている。
Fortinet は、「現時点の ThirdEye は、洗練されているとは言えないが、この情報窃取ツールの改良に、攻撃者は力を入れていることが分かった。したがって、この取り組みは、今後も継続されると思われる」と述べている。
Secureworks による最近のデータでは、Russian Market というダークウェブで、盗まれたログが大量に取引されていることが示唆されている。つまり、この種のマルウェアが増加している中で、新しいインフォ・スティーラーが登場したことになる。
インフォ・スティーラーという言葉が、いつごろから使い始められたのかというと、それほど鮮明は記憶がありませんが、いつの間にか、見ない日はないというくらい、流行りの言葉になってしまったように思えます。よろしければ、Info Stealer で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.