概要
2025年9月、セキュリティ企業eSentireの脅威対応ユニット(TRU)は、製造業の顧客を標的とした新たなスピアフィッシングキャンペーンを検知しました。この攻撃は、高度な情報窃取マルウェア「DarkCloud」を展開し、キーストロークや認証情報などの機密データを窃取することを目的としていました。
攻撃の詳細
攻撃者は、標的企業のZendeskサポート受信箱に対し、銀行を装った巧妙な手口を用いました。「Swift Message MT103 Addiko Bank ad: FT2521935SVT」という件名で、正規の金融取引を模倣したメールを送信。このメールには、「Swift Message MT103 FT2521935SVT.zip」という悪意のあるZIP添付ファイルが含まれており、内部にはDarkCloudバージョン3.2の実行ファイル(「Swift Message MT103 FT2521935SVT.exe」)が隠されていました。送信元は「procure@bmuxitq[.]shop」であり、検出を回避するために偽装されていました。
DarkCloudマルウェアの機能
DarkCloudは、かつてXSS.isフォーラムで販売されていた情報窃取マルウェアで、.NETからVB6に再構築され、進化を遂げています。一度実行されると、以下の広範な情報を窃取します。
- ブラウザのパスワード
- クレジットカード情報
- クッキー
- キーストローク
- FTP認証情報
- クリップボードの内容
- メール連絡先
- ファイル
- 仮想通貨ウォレット
窃取されたデータは、Telegram、FTP、SMTP、またはPHPウェブパネルを介して外部に送信されます。DarkCloudは「darkcloud.onlinewebshop[.]net」やTelegramユーザー「@BluCoder」を通じて積極的に販売されており、パスワード回復、キーストローク収集、クリプトクリッピング、ファイル取得などの「正規のソフトウェア機能」を装っています。
技術的分析と回避策
DarkCloudのビルダーはVB6 IDEを必要とし、作者のソースコードが露出する可能性があります。最新のDarkCloud 4.2では、VB6固有のシーザー暗号によるオプションの文字列暗号化がサポートされています。アナリストは、msvbvm60.dllのrtcRandomizeおよびrtcRandomNextの実装をリバースエンジニアリングすることで、難読化された文字列を復号し、データ流出の認証情報やコマンド&コントロールエンドポイントを特定できます。
追加機能として、WMIベースのシステムプロファイリング(CPU、OS、ディスクサイズ、メモリ、プロセッサ数)、VBScriptによるクレジットカード正規表現解析、Thunderbirdなどのクライアントからのメール連絡先収集が含まれます。また、サンドボックスや仮想環境の検出機能も備えており、プロセス名チェック、ディスク/メモリしきい値、ファイル存在クエリを通じて、研究者による分析を妨害します。例えば、実行中のプロセスが50未満の場合や、Wireshark、procmon、AutoItなどのブラックリストに登録されたサンドボックスツールが検出された場合、実行を停止します。
永続化は、ランダム化されたRunOnceレジストリエントリを通じて行われます。ファイルグラバーはドキュメント、スプレッドシート、PDFなどを標的とし、仮想通貨ウォレットの窃取はExodus、Electrum、Coinomi、MetaMaskなどの主要なウォレットディレクトリを対象とします。
eSentireによる対応と推奨事項
eSentireの24時間体制のSOCアナリストは、このスパムキャンペーンを特定し、悪意のあるメールを隔離し、顧客に代わってDarkCloud実行ファイルをブロックしました。彼らは、認証情報のリセット、残存マルウェアのスキャン、メールフィルタリングポリシーの強化といった復旧プロセスを指導しました。
メールは依然として主要なマルウェアの侵入経路であるため、DarkCloudや同様の脅威から防御するために、以下の対策が推奨されます。
- メール保護ルールの強化: 実行ファイルやスクリプトを含むZIP添付ファイルをブロックする。
- フィッシングおよびセキュリティ意識向上トレーニング(PSAT)の実施: 従業員にソーシャルエンジニアリングの手口について教育する。
- 24時間体制のMDRサービスとの提携: 継続的な脅威ハンティング、多角的な可視性、迅速な対応を実現する。
- 次世代AVまたはエンドポイント検出・対応(EDR)の導入: 情報窃取マルウェアを検出し、ブロックし、封じ込める。
まとめ
プロアクティブな脅威ハンティング、セキュリティ意識向上、高度な分析を組み合わせることで、組織は進化する攻撃者の手口に先んじ、DarkCloudによる広範な認証情報窃取の脅威から身を守ることができます。