Last Updated on 2024-06-04 18:26 by 荒木 啓介
DarkGateマルウェアがサイバー攻撃でAutoItスクリプトからAutoHotkeyメカニズムへと移行した。この変更は、脅威アクターが検出を回避し続けるための努力の一環である。DarkGateのバージョン6は2024年3月に開発者RastaFarEyeによってリリースされ、30人の顧客にサブスクリプションベースで販売されている。このマルウェアは2018年から活動しており、リモートアクセストロイの木馬(RAT)として、コマンドアンドコントロール(C2)、ルートキット機能、クレデンシャル盗難、キーロギング、スクリーンキャプチャ、リモートデスクトップなどの機能を備えている。
DarkGateのキャンペーンは、セキュリティソリューションを回避するために、異なるコンポーネントを迅速に変更する傾向がある。McAfee Labsによって2024年4月に初めて文書化されたこのAutoHotKeyへの切り替えは、CVE-2023-36025およびCVE-2024-21412などのセキュリティ脆弱性を利用して、フィッシングメールのMicrosoft ExcelまたはHTML添付ファイルを使用してMicrosoft Defender SmartScreenの保護を回避する攻撃チェーンを活用している。代替方法として、組み込まれたマクロを持つExcelファイルを介してVisual Basic Scriptファイルを実行し、これがPowerShellコマンドを呼び出して最終的にAutoHotKeyスクリプトを起動し、テキストファイルからDarkGateペイロードを取得して復号する。
DarkGateの最新バージョンは、設定、回避技術、およびサポートされるコマンドのリストに大幅なアップグレードを含んでおり、オーディオ録音、マウス制御、キーボード管理機能が新たに追加されている。バージョン6は新しいコマンドを含むだけでなく、特権昇格、クリプトマイニング、hVNC(Hidden Virtual Network Computing)など、以前のバージョンからいくつかのコマンドを欠いている。これは検出を可能にする機能を削除する努力である可能性がある。また、DarkGateが少数の人々に販売されているため、顧客がこれらの機能に興味を持たなかった可能性があり、RastaFarEyeがそれらを削除することを余儀なくされた。
サイバー犯罪者がDocusignを悪用し、地下フォーラムで正規に見えるカスタマイズ可能なフィッシングテンプレートを販売していることが明らかになった。これらの詐欺メールは、正規の文書署名リクエストを真似て慎重に設計されており、何も知らない受信者をだまして悪意のあるリンクをクリックさせたり、機密情報を開示させたりする。
【ニュース解説】
サイバー攻撃の世界では、攻撃者は常に新しい方法を模索し、セキュリティ対策を回避するために技術を進化させています。最近の報告によると、DarkGateと呼ばれるマルウェアが、その配布方法を変更しました。これまでAutoItスクリプトを使用していたのが、AutoHotkeyメカニズムへと移行したのです。この変更は、セキュリティソフトウェアによる検出を避けるため、またはより効果的な攻撃を実現するために行われた可能性があります。
DarkGateは、リモートアクセストロイの木馬(RAT)として分類され、2018年から活動しているマルウェアです。このマルウェアは、コマンドアンドコントロール(C2)機能、ルートキット機能、クレデンシャル盗難、キーロギング、スクリーンキャプチャ、リモートデスクトップなど、多岐にわたる機能を備えています。これにより、攻撃者は被害者のコンピューターを遠隔操作し、機密情報を盗み出すことが可能になります。
最新バージョンであるバージョン6では、オーディオ録音、マウス制御、キーボード管理などの新機能が追加されています。しかし、以前のバージョンにあった特権昇格やクリプトマイニング、隠れた仮想ネットワークコンピューティング(hVNC)などの機能は削除されています。これは、これらの機能がセキュリティソフトウェアによる検出の原因となる可能性があるため、または顧客のニーズに応じて機能を調整しているためかもしれません。
このようなマルウェアの進化は、サイバーセキュリティの専門家にとって常に挑戦です。攻撃者が新しい技術や手法を採用することで、既存のセキュリティ対策を回避し、攻撃を成功させる可能性が高まります。そのため、セキュリティ対策も継続的に更新し、新たな脅威に対応する必要があります。
また、この報告は、サイバー犯罪者がDocusignのような正規のサービスを悪用し、フィッシング攻撃に利用していることも明らかにしています。これらの詐欺メールは、見た目が正規のものと酷似しているため、受信者が騙されやすくなっています。このような攻撃から身を守るためには、メールのリンクをクリックする前に、その正当性を慎重に確認することが重要です。
サイバーセキュリティの世界では、攻撃者と防御者の間の継続的な「猫とネズミ」のゲームが展開されています。新しい技術や手法の出現により、セキュリティ対策の重要性が高まっており、個人ユーザーから企業まで、すべてのインターネット利用者が警戒を怠らないことが求められています。
from DarkGate Malware Replaces AutoIt with AutoHotkey in Latest Cyber Attacks.
