PikaBotマルウェアの背後にいる脅威アクターは、マルウェアに重要な変更を加え、「進化の逆行」と表現される段階に至っている。Zscaler ThreatLabzの研究者Nikolaos Pantazopoulosによると、新しい開発サイクルとテストフェーズにあるにもかかわらず、開発者は高度な難読化技術の削除やネットワーク通信の変更により、コードの複雑さを低減させた。PikaBotは、2023年5月にサイバーセキュリティ企業によって初めて文書化されたマルウェアローダー兼バックドアであり、コマンドアンドコントロール（C2）サーバーからのコマンド実行やペイロードの注入を可能にし、攻撃者が感染ホストを制御できるようにする。また、システムの言語がロシア語またはウクライナ語である場合に実行を停止することで、オペレーターがロシアまたはウクライナに拠点を置いていることを示唆している。

近月には、PikaBotともう一つのローダーであるDarkGateが、フィッシングキャンペーンを通じてターゲットネットワークへの初期アクセスを得るための魅力的な代替手段として、Water Curupira（別名TA577）などの脅威アクターによって採用されている。Zscalerがこの月に観察したPikaBotの新バージョン（バージョン1.18.32）の分析では、より単純な暗号化アルゴリズムを使用し、有効な命令の間にジャンクコードを挿入することで分析を困難にする努力が続けられていることが明らかにされた。最新の反復におけるもう一つの重要な変更は、QakBotに似た全てのボット設定が、実行時に各要素を暗号化して復号するのではなく、単一のメモリブロック内にプレーンテキストで格納されるようになったことである。第三の変更は、C2サーバーネットワーク通信に関連し、マルウェア開発者がコマンドIDとトラフィックを保護するために使用される暗号化アルゴリズムを調整した。

Proofpointは、2023年11月以降進行中のクラウドアカウント乗っ取り（ATO）キャンペーンが数十のMicrosoft Azure環境を標的にし、上級幹部を含む数百のユーザーアカウントを侵害したことを警告している。この活動は、個別に調整されたフィッシングの誘い文句を持つデコイファイルを含むユーザーを特定し、クレデンシャルハーベスティングのための悪意のあるフィッシングWebページへのリンクを含むファイルを使用し、それを利用してデータの持ち出し、内部および外部のフィッシング、および金融詐欺に使用する。

【ニュース解説】

PikaBotマルウェアは、サイバーセキュリティの世界で再び注目を集めています。このマルウェアは、攻撃者が被害者のコンピューターに不正アクセスし、様々な悪意のある操作を行うことを可能にするツールです。最近の報告によると、PikaBotの開発者たちは、マルウェアのコードを簡素化し、より巧妙な手法を用いることで、セキュリティ対策を回避しやすくしています。

このマルウェアは、特定の命令やペイロードを実行するために、遠隔からの指示に従うことができます。また、ロシア語やウクライナ語のシステムでは実行を停止する特徴があり、これは開発者がこれらの国に拠点を置いている可能性を示唆しています。

PikaBotの最新バージョンでは、難読化技術の簡素化や、ネットワーク通信の変更など、いくつかの重要な変更が行われました。これにより、セキュリティ研究者がマルウェアの分析を行うことがより困難になります。また、マルウェアの設定がプレーンテキストで保存されるようになったことも、新たな特徴として挙げられます。

このような変更は、マルウェアが検出を避け、より広範囲にわたる攻撃を実行するための試みと見られます。しかし、これらの変更がセキュリティ対策にどのような影響を与えるかは、今後の研究と分析によって明らかになるでしょう。

一方で、クラウドアカウントの乗っ取り（ATO）キャンペーンが進行中であることも報告されています。このキャンペーンでは、Microsoft Azure環境が標的とされ、数百のユーザーアカウントが侵害されています。攻撃者は、個別に調整されたフィッシングメールを使用して、ユーザーのクレデンシャルを盗み出し、さらなる攻撃に利用しています。

これらの報告は、サイバーセキュリティの脅威が日々進化していることを示しています。そのため、個人や組織は、セキュリティ対策を常に最新の状態に保ち、潜在的な脅威に対して警戒を怠らないことが重要です。また、セキュリティ研究者や企業は、新たな脅威に迅速に対応し、その対策を開発するために、継続的な努力が求められます。

from PikaBot Resurfaces with Streamlined Code and Deceptive Tactics.