RedLine マルウェアと ScrubCrypt 難読化ツール:脅威アクターたちの最新テクニックを解析

RedLine Stealer Malware Deployed Via ScrubCrypt Evasion Tool

2023/11/30 InfoSecurity — RedLine Stealer マルウェアによりユーザー組織を標的にするために、ScrubCrypt という難読化ツールの新バージョンが使用されていると、詐欺センサー・ネットワークの Human Security が警告している。Human の Satori Threat Intelligence Team は、ダークウェブで販売されている ScrubCrypt の新たなビルドを発見した。そして、RedLine Stealer によるアカウント乗っ取りや詐欺において、このビルドの利用が確認されたと述べている。

Banner ad promoting ScrubCrypt on a dark web marketplace. Source: Satori Threat Intelligence and Research Team
新しい ScrubCrypt の仕組み

ScrubCrypt は、実行形式のファイルをバッチ・ファイルに変換することで、検知を回避するツールであり、脅威アクターたちに愛用されている。2023年3月には、悪用可能な Oracle Weblogic Server を標的とする、脅威アクター 8220 Gang により使用されたことが判明している。

研究者たちによると、この新たな ScrubCrypt のビルドをホスティングしている Web サイトは、米国/欧州などの法執行機関から逃れるために、ロシアで登録/ホスティングされているという。

しかし、それに関連する RedLine Stealer サンプルから認証情報を受信し、指示を送信する Command and Control (C2) サーバは、データセンターのプロキシや仮想サーバを提供する米国のプロバイダーによりホストされている。このアプローチから示唆されるのは、国内にあるサーバへとターゲットを誘導する脅威アクターが、特定のファイアウォール保護を回避するという設計と手口である。

研究者たちは、新たな ScrubCrypt の仕組みを理解するために、この攻撃をリバース・エンジニアリングした。多くのケースにおいて、標的を感染させるためのソーシャル・エンジニアリング攻撃により、被害者のデバイスには “.bat” ファイルがダウンロードされ。この “.bat” ファイルには base64 エンコードされたペイロードが含まれているが、無意味な繰り返し文字列が散りばめられることで、難読化が行われている。

この文字列を取り除き、AES 暗号化されたファイルを復号したところ、実体としてのペイロードは圧縮された gzip データであることが判明したという。

これらのファイルのデータ・ストリームを抽出すると、難読化された .NET 実行型ファイルが見つかったという。このペイロードから難読化を解除した後に、対象となるファイルが “P” という埋め込みリソースをロードしていることを、Satori チームは確認した。 このサンプルは、.NET 実行ファイルに埋め込まれた Key と XOR 暗号を用いて “P” の難読化を解除した後に、最終的な Windows の実行型ファイルをペイロードを取得する。

最終的なペイロードが RedLine Stealer であることが判明したが、研究者たちが指摘するのは、他のペイロードも同じ方法で暗号化され、ウイルス対策を回避していることである。

Redline Stealer は、Web ブラウザのクッキー/ログイン情報などを盗み出し、アカウントを侵害するように設計されたマルウェアである。その結果として、盗み出した認証情報でのログインや、クッキーの再利用などにより、脅威アクターたちはアカウント詐欺攻撃を行い、アカウント乗っ取りを達成していく。

Sastori のブログには、「この攻撃は、アカウントを侵害する代替手段を象徴している。脅威アクターの中には、窃取した認証情報でブルートフォース攻撃を行うよりも、この攻撃における RedLine Stealer ステイラーなどを使用することで、マルウェア・ベースのアカウント詐欺のアプローチを好む者もいる」と記されている。

この脅威を軽減するには

Human Security にも、以前に RedLine Stealer の標的にされた顧客がいるという。しかし、今回の ScrubCrypt のビルドを組み込んだ事例は初めてだという。今回の発見が浮き彫りにするのは、防御の改善に先駆けて、攻撃者のテクニックが常に進化している状況である。

2023年11月30日の Satori ブログには、「RedLine Stealer のようなマルウェアや、ScrubCrypt のような難読化ツールの、新たなビルドが発見されてウイルス対策に組み込まれると、脅威アクターたちは次のビルドを設計し始める」と記されている。

特にダイレクト/プライベート・メッセージング機能を、ユーザー・プラットフォームにネイティブに搭載している組織に推奨されるのは、以下の対策を講じることことで、この種の脅威を軽減することである:

  • Cookie 窃取攻撃を検出/軽減するための保護の導入。

  • これまでの攻撃などで盗まれた認証情報を持つ、ユーザーに対してフラグを立てるツールの使用。

  • 侵害されたユーザーにユーザー認証情報を変更させ、二要素認証 (2FA) で本人確認をさせる。

  • 進化する攻撃手法の詳細について、常に最新の脅威調査を行う。

このブログにも何度か登場している RedLine ですが、なかなかの強者という感じがしています。また、ScrubCrypt に関しては、文中でも指摘されている Oracle 攻撃を解説する、2023/03/09 の「Oracle Weblogic Server が標的:ScrubCrypt 攻撃を仕掛ける 8220 Gang」という記事があります。よろしければ、RedLine で検索も、ご利用ください。