SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations
2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。
このようなエコシステム全体が、長い時間をかけて発展してきた結果として、金銭的な動機に基づくアクターも、国家的なアクターも、情報スティーラー・マルウェア・サービスを利用して、さまざまな攻撃を行えるようになっている。
このような観点から見ると、この種のマルウェアは Cybercrime-as-a-Service (CaaS) モデルの進化を示すだけではなく、ランサムウェア配布やデータ窃盗などの悪意のサイバー活動を促進することで、盗んだデータによる収益化を高めている。
そして SapphireStealer の機能として挙げられるのは、ホスト情報/ブラウザデータ/ファイル/スクリーンショットの収集であり、それらのデータを ZIP ファイルの形で、 SMTP (Simple Mail Transfer Protocol) を介して流出させるという。つまり、ダークウェブで人気を博している、他のステラー・マルウェアに類似している。
その一方で、2022年12月下旬にソースコードが無料で公開されたことで、このマルウェアの実験が盛んになり、攻撃の検出が困難になっている。この問題を複雑にしている要素としては、Discord Webhook/Telegram API を悪用する、柔軟なデータ抽出方法なども指摘されている。
Brumaghin は、「この脅威の複数の亜種がすでに野放しになっており、脅威アクターは時間の経過とともに、その効率と有効性を向上させている」と述べている。
このマルウェアの開発者は、コードネーム FUD-Loader と呼ばれる .NET マルウェア・ダウンローダーも公開している。このダウンローダーにより、攻撃者が管理する配布サーバから追加のバイナリー・ペイロードの取得が可能になる。
Talos によると、このマルウェア・ダウンローダーは、DCRat/njRAT/DarkComet/Agent Tesla のような、リモート管理ツールの配信に使用されていたという。
今回の情報公開の1週間ほど前には、Agniane Stealer という別のスティラー・マルウェアの詳細を、Zscaler が共有している。
Agniane Stealer は、Telegram/Discord/Web ブラウザ/ファイル転送ツールに加えて、70件以上の暗号通貨エクステンション/10件のウォレットなどから、認証情報/システム情報/セッションの詳細データを盗み取るものである。そして、複数のダークウェブ・フォーラムや Telegram チャンネルで、月額 $50 (ライフタイム・ライセンスは無し) で販売されている。
セキュリティ研究者である Mallikarjun Piddannavar は、「Agniane Stealer 使用するハッカーたちは、パッカーを利用してマルウェアの機能と回避能力を維持し、定期的にアップデートしている」とコメントしている。
.NET ユーザーを狙うマルウェアに関しては。2023/02/03 の「MalVirt という仮想化された .NET マルウェア・ローダー:マルバタイジングで配布」や、2023/03/20 の「.NET 開発者がターゲット:NuGet に展開された悪意のパッケージを追跡」といった記事が、これまでにありました。そして、SapphireStealer や Agniane Stealer などの、情報窃取型マルウェアの存在も明らかになってきたようです。よろしければ、VSCode で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.