概要
Torg Grabberと呼ばれる情報窃取型マルウェアが、Telegramを介したデータ漏洩から暗号化されたREST APIコマンド・アンド・コントロール(C2)チャネルに移行していることが明らかになりました。この変更により、Torg Grabberはより堅牢な通信手段を採用し、攻撃者の操作性が向上しています。
背景
Torg Grabberの存在が最初に確認されたのは、初期のサンプルがVidarと誤って認識されていたことから始まりました。しかし、内部デバッグ文字列「grabber v1.0」や独自のREST API C2プロトコルを使用していることが判明し、これが新しいマルウェアファミリーであることが確認されました。
進化の経緯
Torg Grabberは3つのデータ盗難段階を経て急速に進化しました。最初のフェーズではTelegram Bot APIを使用していましたが、その後短時間で独自の暗号化TCPプロトコルを試みましたが、このアプローチは運用上の複雑さから採用を見送られました。
12月18日以降、Torg GrabberはHTTPS REST API C2に標準化し、Cloudflare保護ドメインを使用してデータを暗号化したチャンクでエクスフィレートしています。このプロセスでは、ホストの情報を収集し、設定と任意のシェルコードを受け取ります。
マルウェアの展開
Torg Grabberは多段階ローダー連鎖を通じてデプロイされ、コアステラーをディスクに保存せずに実行します。初期ドロッパーは偽りのゲームチートやパッチワークインストーラーとして配布され、ランダムなファイル名を持つポリモルフィックローダーをドロップし、環境変数を通じてオペレーター固有の設定を伝播します。
データ盗難機能
Torg Grabberは少なくとも25種類のChromiumベースブラウザと8種類のFirefoxファミリーブラウザからクレデンシャル、クッキー、フォームデータを収集します。また、デスクトップ暗号通貨ウォレットやVPN設定、FTP資格情報、メールクライアント、ゲームプラットフォーム、スクリーンショット、インストールされたソフトウェアリスト、およびデスクトップからの特定のファイルも対象となります。
インフラとC2
Torg Grabberは18以上のC2ドメインを使用し、Cloudflareによってフロントエンドが提供されています。また、REST APIエンドポイントを主に使用しながら、一部のバックエンドではマルチパートアップロードプロトコルも実装しています。
対策
Torg Grabberの検出と防御にはTLSインスペクションやRESTパターン検知が有効です。また、環境変数ベースの設定マーカーを監視することで、単なるドメインブロックリストを超えた検出が可能となります。