WailingCrab Malware Evolves: Embracing MQTT for Stealthier C2 Communication
2023/11/23 SecurityOnline — 進化を続けるサイバーセキュリティの脅威の中で、マルウェアの運営者たちは絶えず戦術を洗練させ、検知を回避しながらシステムを侵害し続けている。IBM X-Force の研究者たちが明らかにしたのは、2022年12月に発見された WailingCrab マルウェア・ファミリーが、この傾向を例証していることである。具体的に言うと、その C2 通信メカニズムとステルス技術において、絶え間ない進化が示されているという。
ステルス戦術を駆使するマルチ・コンポーネント型マルウェア
WikiLoader とも呼ばれる WailingCrab は、主に電子メール・キャンペーンを通じて、組織を標的にする高度なマルウェアである。多くのケースにおいて、ロジスティック通知を装う、配達の延滞や出荷に対する請求書などのテーマが悪用される。そのマルチコンポーネント・アーキテクチャに含まれる機能は、ローダー/インジェクター/ダウンローダー/バックドアなどであり、標的システムに侵入した後に、悪意のペイロードを実行する。
MQTT への移行:ステルス的な選択
WailingCrab の開発における注目すべき進歩の1つは、C2 通信に MQTT プロトコルを採用したことだ。MQTT は、IoT アプリケーションで多用される軽量メッセージング・プロトコルであり、パブリッシュ/サブスクライブのアーキテクチャと、集中型ブローカーを利用することで、ステルス性のレイヤーを提供してしまう。このアプローチにより、WailingCrab は C2 サーバの真のアドレスを隠すことが可能となり、セキュリティ・ソリューションによる悪意のトラフィック検出がより困難になる。
ペイロードのホスティングを Discord から離れる
WailingCrabの新しい亜種は、MQTT への切り替えに加えて、ペイロード取得のための Discord 悪用を廃止した。Discord が悪意のファイルをホスティングで多用され、さらに監視の目が厳しくなっている、それに対応する WailingCrab の変化は、ステルス性をさらに高めるものとなる。
セキュリティ研究者の課題
WailingCrab の C2 通信メカニズムの進化は、セキュリティ研究者に課題を突きつけている。初期バージョンは、共通のキャンペーン・トピックを使用していたことで、その活動を観察することが可能だったが、クライアント固有のトピックに切り替えたことで、この可視性が制限されている。
WailingCrab 脅威に対する緩和策
WailingCrab の脅威に対抗するためには、以下のような強固なサイバー・セキュリティ対策を、組織として実施する必要がある:
- アンチウイルス・ソフトウェアと関連ファイルが最新であることを確認する。
- 環境内における IOC の兆候の有無を確認する。
- すべての URL および IPベース の IOC に対して検出/遮断の設定を検討する。
- 特に IoT 関連のアクティビティを排除すべき環境/システムにおいては、MQTT プロトコルの使用をブロック/監視することも検討する。
- アプリケーションとオペレーティング・システムを、現在リリースされているパッチ・レベルで稼動させておく。
- 電子メールの添付ファイルやリンクに注意する。
警戒を怠らず、事前に対策を講じることで、WailingCrab などの進化するマルウェアの脅威に対して、リスクを最小限に抑えることが可能となる。
軽量級の MQTT (Message Queuing Telemetry Transport) が、IoT アプリケーションで多用されるというのは、初めて聞きましたた。膨大な IoT デバイス群から発信される、さまざまなデータを集約するには、たしかに、この種のプロトコルが必要ですね。そこを狙ってくる WailingCrab は、なかなかの手練という感じですね。
IoT OT Security News 
You must be logged in to post a comment.