DarkGate マルウェア:Samba と Excel を介して配布されている – Unit 42

Dark Gate Malware Campaign Uses Samba File Shares

2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。


DarkGate RAT は Borland Delphi で作成されており、サイバー犯罪のエコシステムにおける MaaS (malware-as-a-service) モデルとして利用が可能だ。このマルウェアは洗練された脅威と捉えられており、継続的に改良されている。

DarkGate は、遅くとも2018年から活動しており、プロセス・インジェクション/ファイルのダウンロードと実行/情報の窃取/シェルコマンドの実行/キーログ窃取などの、各種の高機能な戦術をサポートしている。さらに、その悪意のペイロードには、複数の回避テクニックが採用されている。

この金銭的な動機に基づく脅威アクターは、北米/欧州/アジア/アフリカ全域の組織に対する攻撃でマルウェアを使用している。2023年8月に Qakbot のインフラが破壊された後に、DarkGate の活動が急増したことを、Unit 42 は確認している。

DarkGate の脅威アクターたちが、Microsoft Excel ファイルを使用するキャンペーンを開始したのは、2024年3月のことだった。当初は北米を標的としていたが、その対象は徐々に欧州やアジアへと広がっていった。活動のピークは 2024年4月9日であり、その1日で 2,000 近いサンプルが検出された。

ユーザーを欺く悪意の “.xlsx” ファイルを開くと、”開く” ボタンのリンク・オブジェクトを取り込んだテンプレートが、受信者に対して表示される。

続いて、ユーザーが “開く” ボタンのハイパーリンク・オブジェクトをクリックすると、Samba/SMB 共有を指す、一般にアクセス可能な URL から、VBS ファイルが取得され、実行される。

Dark Gate malware campaign


この Samba 共有から、攻撃者が JavaScript ファイルを配布していることも、研究者たちは確認している。”EXCEL_OPEN_DOCUMENT.vbs” ファイルには、プリンタ・ドライバに関連する大量のジャンク・コードが含まれているが、実際の機能は、AutoHotKey ベースの DarkGate パッケージをダウンロードする、PowerShell スクリプトを取得して実行することにある。

Unit42 は、「”test.txt” により難読化が解除され、システム・メモリから実行される、この最終的な DarkGate バイナリは、検出とマルウェア分析を回避するための複雑なメカニズムで知られている。DarkGate が採用する、アンチ解析テクニックの1つは、標的とするシステムの CPU の特定である。それにより、マルウェアが実行される環境が、仮想環境なのか、物理ホストなのかが明らかになる。もし、それが仮想環境だった場合には、制御された環境で分析されるのを避ける DarkGate は、動作を停止する」とレポートで詳述している。

さらに DarkGate は、感染したシステム上で実行されているプロセスを分析し、分析ツールや仮想化ソフトウェアの存在をチェックすることも可能だという。

DarkGate は、暗号化されていない HTTP リクエストを介して C2 サーバと通信し、そこで送受信されるデータは、Base64 エンコードされた難読化テキストになる。

Unit 42 のレポートには、侵害の指標 (IoC:Indicators of Compromise) も含まれている。研究者たちは、「このマルウェアを用いるキャンペーンは、フィッシング戦略と、Samba 共有を悪用するという、両面からのアプローチを活用しており、高度な感染テクニックの持ち主だと思われる。DarkGate は進化を続け、侵入の手口や分析に対する抵抗力を洗練させている。したがって、堅牢でプロアクティブなサイバー・セキュリティ防御の必要性を、強く思い起こさせる存在でもあり続けている」と締め括っている。

DarkGate は、継続して活発に動いていますね。直近のトピックは、2024/03/14 の「Windows SmartScreen の脆弱性を悪用する DarkGate マルウェア:検出回避の戦術を解明」でした。その他にも、いくつかの関連記事がありますので、よろしければ、DarkGate で検索も、ご利用ください。