Last Updated on 2024-04-24 20:23 by 荒木 啓介
2024年4月、新たなマルウェアキャンペーンが観測され、CryptBot、LummaC2、Rhadamanthysといった異なる情報窃取型マルウェアを、少なくとも2024年2月からコンテンツデリバリーネットワーク(CDN)キャッシュドメイン上でホストし、拡散していることが明らかになった。この活動は、Cisco Talosによって中程度の確信を持って、ベトナム起源のグループとされるCoralRaiderに帰属されている。この評価は、CoralRaiderのRotbotキャンペーンとの戦術、技術、手順(TTPs)における複数の重複、特に初期攻撃ベクトルであるWindowsショートカットファイル、中間のPowerShell復号化およびペイロードダウンロードスクリプト、被害者マシンのユーザーアクセスコントロール(UAC)を回避するために使用されるFoDHelper技術に基づいている。
このキャンペーンの対象は、米国、ナイジェリア、パキスタン、エクアドル、ドイツ、エジプト、英国、ポーランド、フィリピン、ノルウェー、日本、シリア、トルコを含む様々なビジネス分野に及んでいる。攻撃チェーンは、ユーザーがウェブブラウザを介して映画ファイルと偽装されたファイルをダウンロードすることから始まり、大規模な攻撃の可能性を示唆している。この脅威アクターは、CDNキャッシュを利用してネットワークエッジホスト上に悪意のあるファイルを保存し、リクエスト遅延を避けると同時に、CDNキャッシュをダウンロードサーバーとして使用し、ネットワーク防御者を欺く戦略を採用している。
ドライブバイダウンロードの初期アクセスベクトルは、フィッシングメールが疑われ、これらを経由してZIPアーカイブに含まれるWindowsショートカット(LNK)ファイルへのリンクを仕掛けたメールを拡散している。ショートカットファイルは、次にCDNキャッシュ上にホストされた次段階のHTMLアプリケーション(HTA)ペイロードを取得するPowerShellスクリプトを実行し、その後Javascriptコードを実行して組み込まれたPowerShellローダーを起動し、レーダー下で活動を続けながら最終的に3つのいずれかのスティーラーマルウェアをダウンロードして実行する。
このキャンペーンで注目すべき点は、新しいアンチアナリシス技術を搭載し、パスワードマネージャーアプリケーションのデータベースや認証アプリケーション情報もキャプチャするCryptBotの更新版を利用していることである。スティーラーマルウェアは、展開されたものに関わらず、被害者の情報、例えばシステムおよびブラウザデータ、認証情報、暗号通貨ウォレット、財務情報を盗む。
【ニュース解説】
2024年4月に観測された新たなマルウェアキャンペーンは、情報窃取型マルウェアであるCryptBot、LummaC2、Rhadamanthysをコンテンツデリバリーネットワーク(CDN)キャッシュドメインを介して拡散していることが特徴です。この活動は、ベトナム起源とされる脅威アクターであるCoralRaiderによるものとCisco Talosによって中程度の確信を持って指摘されています。このキャンペーンは、様々なビジネス分野に及ぶ幅広い地域を対象としており、大規模な攻撃の可能性を示唆しています。
このキャンペーンの特徴的な戦略は、CDNキャッシュを利用して悪意のあるファイルをネットワークエッジホスト上に保存し、これをダウンロードサーバーとして使用することで、ネットワーク防御者を欺く点にあります。初期アクセスベクトルとしては、フィッシングメールを通じてZIPアーカイブに含まれるWindowsショートカット(LNK)ファイルへのリンクを拡散し、これを介してマルウェアのダウンロードを促す手法が用いられています。
このキャンペーンによってもたらされるリスクは、被害者のシステムやブラウザデータ、認証情報、暗号通貨ウォレット、財務情報などの重要な情報が盗まれることにあります。特に、CryptBotの更新版は新しいアンチアナリシス技術を搭載し、パスワードマネージャーアプリケーションのデータベースや認証アプリケーション情報も盗む能力を持っていることが注目されます。
このようなキャンペーンは、企業や個人が直面するサイバーセキュリティの脅威の進化を示しています。攻撃者は常に新しい手法を開発し、既存の防御機構を回避する方法を模索しています。このため、セキュリティ対策は静的なものではなく、継続的に更新し、進化する脅威に対応できるようにする必要があります。
また、このキャンペーンは、CDNを利用した攻撃手法の可能性を示しており、CDNサービス提供者もセキュリティ対策を強化し、悪意のある活動を検出し防止するための取り組みを強化する必要があることを示唆しています。最終的には、企業や個人がセキュリティ意識を高め、定期的なセキュリティチェック、ソフトウェアの更新、強力なパスワードの使用など、基本的なセキュリティ対策を徹底することが重要です。
from CoralRaider Malware Campaign Exploits CDN Cache to Spread Info-Stealers.
