新種のRustマルウェア「ChaosBot」の脅威
高度なRustベースのマルウェア「ChaosBot」が、そのコマンド&コントロール(C2)運用にDiscordプラットフォームを利用していることが明らかになりました。これは従来のボットネットとは異なり、人気のある正規サービスを介して悪意のあるトラフィックを隠蔽するため、従来のセキュリティツールによる検出を著しく困難にしています。
ChaosBotは、Discord APIで認証情報を検証した後、被害者のコンピューター名にちなんだプライベートテキストチャネルを作成します。このチャネルは、攻撃者がシェルコマンド、ダウンロード、スクリーンショット(scr)などのコマンドを直接送信し、被害マシンが結果を添付ファイルとして送り返すインタラクティブな隠蔽シェルとして機能します。さらに、このマルウェアは、Windows Event Tracing for Windows(ETW)機能のパッチ適用や仮想マシン(VM)のMACアドレスチェックなど、高度な分析対策技術を使用して、セキュリティ研究者の監視を回避します。
二重の攻撃経路
初期侵入は、CiscoVPNと「serviceaccount」という過剰な権限を持つActive Directoryアカウントの両方で侵害された認証情報によって容易にされました。攻撃者はこのアクセスを利用し、Windows Management Instrumentation(WMI)を使用してネットワーク全体でリモートコマンドを実行し、ChaosBotを展開・実行しました。
ChaosBotのペイロードは、msedge_elf.dllと偽装され、C:\Users\Public\Librariesディレクトリから正規のMicrosoft Edgeコンポーネントidentity_helper.exeに対するDLLサイドローディングを介して実行されました。
もう一つの巧妙な手口として、ChaosBotの運用者は、ベトナム国立銀行からの正規の通信に見せかけた悪意のあるWindowsショートカット(.lnk)ファイルを使用するフィッシングキャンペーンを展開しています。このショートカットは、PowerShellコマンドを実行してChaosBotマルウェアをダウンロード・実行すると同時に、無害なPDFドキュメントをダウンロード・開くことで被害者を欺き、感染の欺瞞的な隠れ蓑を提供します。
おとりのPDFは、ベトナム中央銀行からの非常に公式な通信を模倣しており、参照番号や金融機関の新しいコンプライアンス要件に関する正式な規制用語が記載されています。このソーシャルエンジニアリング戦術は、政府機関の権威と信頼性を悪用し、感染の重要な段階で被害者の疑念を低下させます。
隠蔽されたコマンドチャネル
ChaosBotはRustプログラミング言語で書かれており、APIインタラクションにはreqwestまたはserenityライブラリを利用しています。マルウェアはDiscordボットトークン、ギルド(サーバー)ID、チャネルIDで構成され、プラットフォームの正規インフラストラクチャとのシームレスな統合を可能にしています。
マルウェアはまず、Discord APIへの単純なGETリクエストでボットトークンを検証し、その後、脅威アクターのDiscordサーバー内に被害者のコンピューター名にちなんだ新しい専用チャネルを作成します。その後、マルウェアは一般チャネルに初期メッセージを送信し、新しい侵害を運用者に通知します。興味深いことに、既知の関連サーバー全体の一般チャネルは「常规」(中国語で「通常」または「一般」を意味する)と名付けられており、運用者が中国語版のDiscordを使用しているか、中国語を話すメンバーがいる可能性を示唆しています。
ChaosBotは継続的なループを介して動作し、被害者の専用Discordチャネルで新しいメッセージ(コマンド)をチェックします。ラテラルムーブメントと偵察の主要コマンドは「shell」であり、PowerShellを介してコマンドを実行し、出力にはUTF8エンコーディングが強制されます。
コマンド実行後、シェルコマンドからの標準出力/標準エラー、スクリーンショット、またはファイルなどの結果は、multipart/form-data形式を使用して添付ファイルとしてチャネルに送り返され、攻撃者にDiscordを介したシームレスでインタラクティブなシェル体験を提供します。
高度な回避技術
ChaosBotは、検出と分析を回避するために高度な技術を採用しています。新しい亜種は、ntdll!EtwEventWriteの最初の数命令をメモリ内でパッチ適用し、初期命令を「xor eax, eax」と「ret」に置き換えます。これにより、プロセスのETWテレメトリが正常に無効化され、Endpoint Detection and Response(EDR)やサンドボックスの可視性が妨げられます。これは、多くの最新のセキュリティソリューションによってマルウェアが検出されずに動作することを可能にする重大な盲点です。
マルウェアはまた、VMware(00:0C:29, 00:50:56, 00:05:69)やVirtualBox(08:00:27)などの仮想マシンに既知のプレフィックスとシステムのMACアドレスを照合します。一致が見つかった場合、マルウェアは実行を停止してサンドボックス環境での分析を回避します。これは、運用者がセキュリティ研究の方法論を認識しており、検出を回避しようとする強い意志を示しています。
初期侵害後、脅威アクターは直ちに永続的なアクセスを確立することに注力し、正規の高速リバースプロキシ(frp)ツールを展開しました。実行可能ファイルはnode.exeとして保存され、設定はアジア太平洋(香港)地域のAmazon Web Services(AWS)IPを指していました。攻撃者はまた、正規のVisual Studio Code Tunnelサービスを使用して追加のバックドアをセットアップしようと試み、コマンド実行機能のために信頼されたクラウドサービス機能を実験し、活用しようとする積極的な取り組みを明らかにしています。
推奨される対策
- すべての外部アクセスポイントと特権アカウントに対して多要素認証(MFA)を実装する。
- Discord APIエンドポイントへの異常なHTTP/Sトラフィックを積極的に監視する。
- Publicユーザープロファイルディレクトリのような疑わしい場所からの不正なペイロード実行を防ぐために、アプリケーションホワイトリストを強制する。
- 定期的なフィッシング対策トレーニングを実施する。
- メモリパッチ適用技術を検出するように構成されたEDRソリューションを導入する。
これらの対策は、正規のプラットフォームを悪用するこの新たな脅威から防御するために不可欠です。