南アジアの金融機関が独自のマルウェアツールキットであるBRUSHWORMとBRUSHLOGGERによるサイバー攻撃を受けたことが明らかになりました。この攻撃では、バックドアとして「paint.exe」と名付けられたファイルと、「libcurl.dll」を装ったキーロガーが使用されました。
BRUSHWORMの概要
BRUSHWORMは主なインプラントであり、インストール、持続性、コマンド&コントロール(C2)、モジュラーペイロードの読み込み、USBワーム動作、およびビジネスクリティカルフォーマットでの大量ファイル窃取を処理します。
BRUSHLOGGERの概要
BRUSHLOGGERは32ビットDLLで、「libcurl.dll」という名前を使用してDLLサイドロードに構築されています。このキーロガーは、ユーザー活動を詳細に記録し、攻撃者がユーザーアクティビティに関する深い洞察を得ることができます。
攻撃の詳細
Elastic Security Labsは、この侵入を調査中に、被害者の環境がSIEMレベルのテレメトリしか公開していなかったため、ポストエクスプロイト活動に関する可視性が制限されていたと報告しています。
BRUSHWORMの動作
BRUSHWORMは実行時に基本的な解析チェックを実施し、最小解像度や仮想化プラットフォームの検出を行います。また、ユーザーがログオンするたびにバックドアを実行するようにスケジュールタスクを使用して持続性を確保します。
BRUSHLOGGERの動作
BRUSHLOGGERは「libcurl.dll」という名前でDLLサイドロードに構築され、キーロガーとして機能します。このキーロガーは、ユーザー活動を詳細に記録し、攻撃者がユーザーアクティビティに関する深い洞察を得ることができます。
結論
これらのツールセットは、金融機関向けの情報収集やデータ窃取作業において効果的なプラットフォームを提供します。しかし、開発者の経験不足からくるコード上のミスや不完全な暗号化スキーマが見受けられます。