サイバーニュース.jp

世界のサイバーなニュースを配信

ロシアのハッカーが「私はロボットではありません」CAPTCHAで拡散するマルウェアを進化させる

カテゴリ:

, , , , , , , , ,

ロシアのハッカー集団「Star Blizzard」の活動活発化

ロシアの国家支援型ハッカー集団「Star Blizzard」(別名:ColdRiver、UNC4057、Callisto)が、新たなマルウェアファミリーを駆使し、活動を活発化させています。彼らは「ClickFix」ソーシャルエンジニアリング攻撃から始まる複雑な配信チェーンで、「NoRobot」「MaybeRobot」といったマルウェアを展開しています。

新たなマルウェアファミリーの登場

研究者による分析が公開されてからわずか1週間足らずで、Star Blizzardは以前使用していた「LostKeys」マルウェアを放棄しました。Google脅威インテリジェンスグループ(GTIG)は5月のレポートで、LostKeysが西側政府、ジャーナリスト、シンクタンク、非政府組織への攻撃に利用され、データ窃取などのスパイ活動に使われていたことを報告しています。

LostKeysの公開後、ColdRiverはわずか5日後には、「NOROBOT」「YESROBOT」「MAYBEROBOT」と追跡される新たな悪意のあるツールを展開し始めました。

「NOROBOT」の展開と進化

GTIGによると、再ツール化は「NOROBOT」から始まりました。これは、偽のCAPTCHAページを介した「ClickFix」攻撃を通じて配信される悪意のあるDLLです。標的は、検証プロセスを装ってrundll32経由でこれを実行するよう騙されます。ハッカーは、標的を「私はロボットではありません」というCAPTCHAチャレンジを実行させ、人間であることを証明させようとしますが、実際にはNOROBOTマルウェアを起動するコマンドを実行させます。

クラウドセキュリティ企業Zscalerは9月にNOROBOTを分析し、「BAITSWITCH」と名付け、そのペイロードをバックドア「SIMPLEFIX」と呼んでいます。Googleは、NOROBOTが5月から9月にかけて絶えず開発されてきたと述べています。

NOROBOTはレジストリ変更とスケジュールされたタスクを通じて永続性を獲得し、当初はWindows用の完全なPython 3.8インストールを取得し、Pythonベースのバックドア「YESROBOT」の準備をしていました。しかし、GTIGは、Pythonのインストールが目立つアーティファクトであり、注意を引く可能性があったため、YESROBOTの使用は短命に終わったと指摘しています。

「MAYBEROBOT」への移行と機能

ColdRiverはYESROBOTを放棄し、別のバックドアであるPowerShellスクリプト「MAYBEROBOT」(ZscalerによってSIMPLEFIXとして識別)に移行しました。6月初旬以降、「大幅に簡素化された」NOROBOTのバージョンがMAYBEROBOTを配信し始めました。MAYBEROBOTは以下の3つのコマンドをサポートしています。

  • 指定されたURLからペイロードをダウンロードして実行する
  • コマンドプロンプトを通じてコマンドを実行する
  • 任意のPowerShellブロックを実行する

実行後、MAYBEROBOTは結果を異なるコマンド&コントロール(C2)パスに返し、ColdRiverに運用成功のフィードバックを提供します。

攻撃チェーンの進化と目的

Googleのアナリストは、MAYBEROBOTの開発は安定しており、脅威アクターはNOROBOTをよりステルスで効果的なものにすることに注力しているとコメントしています。研究者たちは、複雑なものからシンプルなものへ、そして再び複数のコンポーネントに暗号鍵を分割する複雑な配信チェーンへの移行を指摘しています。最終的なペイロードの復号は、各ピースを正しく組み合わせることに依存していました。

GTIGは、「これは、ダウンロードされたコンポーネントの1つが欠けている場合、最終的なペイロードが適切に復号されないため、感染チェーンの再構築をより困難にするために行われた可能性が高い」と述べています。

NOROBOTおよびその後のペイロードを標的に配信するColdRiverの攻撃は、6月から9月の間に観測されています。ColdRiverの活動は、ロシアの情報機関(FSB)に起因するとされています。このグループは少なくとも2017年からサイバースパイ活動に従事しています。

インフラの妨害、制裁、戦術の暴露といった活動を阻止するための努力にもかかわらず、ColdRiverは活発に進化する脅威であり続けています。通常、この脅威グループはフィッシング攻撃でマルウェアを展開しますが、研究者たちはハッカーがClickFix攻撃に移行した理由をまだ特定していません。

一つの説明として、ColdRiverが以前フィッシングを通じて侵害し、すでにメールや連絡先を盗んだ標的に対して、NOROBOTとMAYBEROBOTマルウェアファミリーを使用している可能性があります。これは、「デバイス上の情報から追加のインテリジェンス価値を獲得するため」であると研究者たちは推測しています。

継続する脅威と対策

Googleのレポートには、Robotマルウェア攻撃を検出するためのIoC(侵害指標)YARAルールが記載されています。

元記事: https://www.bleepingcomputer.com/news/security/russian-hackers-evolve-malware-pushed-in-i-am-not-a-robot-clickfix-attacks/

投稿をさらに読み込む