BunnyLoader は最強の Malware-as-a-Service:信じられないスピードで機能を強化している

New BunnyLoader threat emerges as a feature-rich malware-as-a-service

2023/10/02 BleepingComputer —

セキュリティ研究者たちがハッカー・フォーラムで発見した新しい MaaS (Malware-as-a-Service) は、システム・クリップボードの内容を盗んで置き換えることができるファイルレス・ローダーであり、BunnyLoader と名付けられている。このマルウェアの開発は急速に進んでおり、新機能の追加やバグ修正が行われたアップデート版が提供されている。現時点で提供されている機能としては、ペイロードのダウンロードと実行/キーログの収集/機密データと暗号通貨の窃取/リモートコマンド実行などがある。

BunnyLoader の最初のバージョンは、9月4日に登場したばかりである。それ以降において開発者は、複数の検知防止メカニズムや新たな情報窃取の機能などを追加し、9月末に2回目のメジャー・バージョンをリリースした。


クラウド・セキュリティ企業 Zscaler の研究者たちは、BunnyLoader は低価格で入手できる機能豊富なマルウェアとして、サイバー犯罪者の間で急速に普及していると指摘している。

BunnyLoader promoted on hacker forum
ハッカーフォーラムで宣伝されるBunnyLoader (Zscaler)
BunnyLoader の概要

BunnyLoader のコマンドとコントロール・パネルを用いることで、スキルの低いサイバー犯罪者であってもセカンド・ステージのペイロードを設定できるという。具体的な機能としては、感染させたデバイス上での、キーロギング窃取/クレデンシャル窃取/クリップボード操作 (暗号通貨を窃取するため)/リモートコマンド実行などが提供される。

Main malware functions directly available through the panel
パネルから直接利用できる主なマルウェア機能 (Zscaler)

最近のレポートで研究者たちが指摘しているのは、感染させたデバイス上で BunnyLoader は、永続化のために Windows レジストリに新しい値を設定し、ウィンドウを非表示にし、自身の複数のインスタンスを制御するためにミューテックスを設定し、被害者をコントロール・パネルに登録するという手順である。

Victims listed on the panel
パネルに表示される被害者 (Zscaler)

このマルウェアは、サンドボックスまたはシミュレートされた環境上で実行されているかどうかを判断するために、いくつかのチェックを行うという。そして、結果が肯定的であった場合には、トラップだと判断して、偽のアーキテクチャ非互換性エラーをスローする。

前述の機能とは別に、このマルウェアが提供するものには、Web ブラウザに保持されるパスワード/クレジットカード/閲覧履歴の窃取に加えて、暗号通貨ウォレット/VPN/メッセージングアプリなどに保存されたデータを窃取するモジュールもあり、基本的な情報窃取ツールとしても機能する。

すべての窃取されたデータは、ZIP アーカイブに圧縮された後に、脅威アクターの Command and Control (C2) サーバへ向けて流出していく。

Data exfiltrated by BunnyLoader
BunnyLoader によって流出したデータ (Zscaler)

研究者たちによると、BunnyLoader はペイロードを実行する前に、それらのディスクへの書き込みもサポートしているが、プロセス hollowing 技術を使用することで、システム・メモリからファイルレスで実行することも可能だという。

迅速な開発

このマルウェアの開発の履歴と、複数のハッキング・フォーラムでのアナウンスを監視してきた Zscaler は、最初のリリース以降において、何度もアップデートが繰り返されていることに気づいた。

以下は、BunnyLoader の開発タイムラインの要約である:

  • v1.0 (9月4日):イニシャル・リリース。
  • v1.1 (9月5日):クライアントのバグを修正、アップロード前のログ圧縮を導入、リバースシェル用の ‘pwd’ コマンドを追加。
  • v1.2 (9月6日):ブラウザ履歴の復元、NGRok オートトークンの復元、Chromium ブラウザの追加パスのサポートにより、スティーラーを強化。
  • v1.3 (9月9日):16種類のクレジット・カードの回復を追加し、C2 のバグを修正。
  • v1.4 (9月10日):AV 回避を実装。
  • v1.5 (9月11日):スティーラーへの追加機能として、VPN 復旧、ファイルレス・ローダーのバグ修正、ログ読み込みの最適化を導入。
  • v1.6 (9月12日): ダウンロード履歴ビューアとアンチ・サンドボックス技術を追加。
  • v1.7 (9月15日):AV 回避を強化。
  • v1.8 (9月15日):キーロガー機能を実装し、様々なバグを解決。
  • v1.9 (9月17日):ゲームリカバリ/より多くの Chromium ブラウザパス/デスクトップウォレット・リカバリを追加してスティーラーを強化。
  • v2.0 (9月27日): C2 GUI を更新し、SQL インジェクションや XSS を含む重大な脆弱性を修正し、エクスプロイトの試行検知を導入し、スティーラーとファイルレス・ローダーの機能を最適化。

現状において、BunnyLoader は $250 で販売されており、より強力なアンチ解析/インメモリ・インジェクション/AV回避/追加の永続化メカニズムを特徴とする、Private Stub バージョンは $350 で販売されている。

この低価格と迅速な開発サイクルにより、BunnyLoader は新興のマルウェア・プロジェクトとして注目を集めている。そして、料金が上昇する前の早割りは、サイバー犯罪者にとって有利な選択肢となっている。

Zscaler のレポートでは、このマルウェアが永続性を確立する前に阻止するための、検出に関する技術的な詳細と、感染を防ぐための侵害の指標が提供されている。

この記事を訳していて、なかなか良くできたマルウェアだと思っていましたが、末尾の開発タイムラインには、一言で言って目を疑う内容が記されています。ベースとなる技術基盤があり、適切なモジュールが揃っているので、このようなスピードで開発が進むのだろうと思います。よろしければ、as-a-Service で検索も、ご利用ください。