概要
研究者は、macOSユーザーを標的にするマルウェア「DigitStealer」の拡大しているコマンド&コントロール(C2)インフラストラクチャについて新たな情報を公開しました。この暴露により、セキュリティ専門家は新しいインフラストラクチャを追跡しブロックすることが可能になりました。
DigitStealerの特徴
DigitStealerは、他の多くの人気のあるステーラーよりも閉鎖的な操作であることが示されています。このマルウェアは主にmacOSアプリケーションを偽装した「DynamicLake」などのトロイの木馬を通じて配布されます。
インフラストラクチャの詳細
DigitStealerは、以下の4つの主要なエンドポイントを使用してC2サーバーと通信します:
- /api/credentials:盗まれた資格情報
- /api/grabber:ファイルアップロード
- /api/poll:バックドアタスクの取得
- /api/log:追加のテレメトリとログ
これらのエンドポイントは、一意のチャレンジ文字列と複雑さレベルを提供し、マルウェアがセッショントークンを得るために値を計算する必要があります。
C2サーバーの特定方法
研究者は、これらのAPIパスへのHTTPまたはHTTPSリクエストを発行し、JSONレスポンスから「challenge」と「complexity」などのフィールドを検査することで、疑わしいDigitStealerインフラストラクチャを確認する方法を示しています。
新たなC2ドメインの発見
新しい分析とオープンソースレポートにより、diamondpickaxeforge[.]comやebemvsextiho[.]comなどの追加のC2ドメインが発見されました。これらのドメインは、.com TLDを使用し、nginxを介してHTTPSを終端し、Let’s Encrypt発行のTLS証明書を持つことが一般的です。
インフラストラクチャのパターン
これらのドメインはスウェーデンにあるAb Stract Ltdネットワークでホストされており、SSHバナーがOpenSSH 9.6p1などの特定のバージョンを示すことが観察されています。
対策
セキュリティ専門家は、IPメタデータ(ASN、TLS、サーバーヘッダー、SSHバージョン)に対する簡単なクエリと既知のDigitStealer APIパスへのアクティブチェックを組み合わせることで、新たなC2サーバーを見つけることができます。
インジケーターオブコムプロイズ(IOC)
IPアドレス:
- 80.78.30[.]90 beetongame[.]com ab stract ltd
- 80.78.25[.]205 binance.comtr-katilim[.]com yourwrongwayz[.]com chiebi[.]com ab stract ltd
- 80.78.30[.]191 tribusadao[.]com theinvestcofund[.]com cekrovnyshim[.]com ab stract ltd
- 80.78.22[.]140 flowerskitty[.]com ab stract ltd
- 80.78.27[.]104 diamondpickaxeforge[.]com ab stract ltd