ClipXDaemon マルウェアの概要
ClipXDaemon は、新しい Linux マルウェアファミリーで、X11 セッションのクリップボードデータをハイジャックし、暗号通貨ユーザーを標的とします。このマルウェアは、コマンド&コントロール (C2) インフラストラクチャなしで完全にオフラインで動作します。
ShadowHS フレームワークとの関連性
ClipXDaemon は、ShadowHS ファイルレス Linux ポストエクスプロイトフレームワークと関連しています。ShadowHS は、オブファスケーションフレームワークである bincrypter を使用して、オブファスケーションされたシェルローダーをデプロイします。しかし、ClipXDaemon は、X11 フォーカスのクリップボードハイジャッカーとして、このステージングロジックを再利用します。
ClipXDaemon の構造
ClipXDaemon のキャンペーンは、暗号化されたシェルローダー、メモリ内に存在するドロッパー、そして最終的にディスク上の ELF デーモンというコンパクトな三段階のチェーンで構成されています。
ステルス性とクリップボードハイジャック
ClipXDaemon の最終的な ELF は、X11 ライブラリに動的にリンクされた 64 ビットユーザーランドバイナリです。このマルウェアは、WAYLAND_DISPLAY 変数が存在する場合、終了します。X11 でのクリップボードスクレイピングが可能であることを確認します。
クリップボードから UTF-8 テキストを取得し、人気のある暗号通貨ウォレット(ビットコイン、イーサリアム、リテム、モネロ、トロン、ドージコイン、リップル、TON など)の正規表現と照合します。一致が見つかった場合、マルウェアはクリップボードの所有権を取得し、攻撃者のコントロール下のウォレットアドレスを返します。
インフラストラクチャの欠如
ClipXDaemon は、ネットワーク通信を全く使用せず、DNS ロックアップ、HTTP ビーコン、または埋め込まれた C2 ドメインや IP アドレスが観察されません。このインフラストラクチャのないアプローチは、攻撃者の運用リスクを低減します。
インジケーターオブコムプロイス (IOCs)
- SHA-256: 87ab42a2a58479cf17e5ce1b2a2e8f915d539899993848e5db679c218f0e7287 (bincrypter ローダースクリプト)
- SHA-256: 23099eea9c4f85ff62a4f43634d431bbed0bf6b039a3f228b1c047f1c2f0cd11 (ドロッパースクリプト)
- SHA-256: b6bb28160532400eafad532842e4ba9add6d6bbba4f7e7c85e3dbb650369eb00 (ClipXDaemon ELF バイナリ)
- Ethereum アタッカーウォレットアドレス: 0x502010513bf2d2B908A3C33DE5B65314831646e7
- Monero アタッカーウォレットアドレス: 424bEKfpB6C9LkdfNmg61pMEnAitjde8YWFsCP1JXRYhfu4Tp5EdbUBjCYf9kRBYGzWoZqRYMhWfGAm1N5h6wSPg8bSrbB9
- Bitcoin アタッカーウォレットアドレス: bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle
- Dogecoin アタッカーウォレットアドレス: DTkSZNdtYDGndq1kRv5Z2SuTxJZ2Ddacjk
- Litecoin アタッカーウォレットアドレス: ltc1q7d2d39ur47rz7mca4ajzam2ep74ccdwvqre6ej
- Tron アタッカーウォレットアドレス: TBupDdRjUscZhsDWjSvuwdevnj8eBrE1ht
結論
ClipXDaemon の設計は、完全にオフラインで動作し、ネットワーク通信を全く使用しないという点で、従来のマルウェアとは異なります。このマルウェアは、攻撃者のリスクを低減し、防御者にホストベースのテレメトリ、プロセス分析、行動検出に依存させます。