Last Updated on 2024-07-13 07:40 by admin
サイバーセキュリティ研究者たちは、Sambaファイル共有を利用して感染を開始する短期間のDarkGateマルウェアキャンペーンについて明らかにした。
この活動は2024年3月と4月にわたり、公開されているSambaファイル共有を実行するサーバーを使用し、Visual Basic Script(VBS)とJavaScriptファイルをホスティングしていた。対象地域は北米、ヨーロッパ、およびアジアの一部である。
Palo Alto NetworksのUnit 42によると、このキャンペーンは、合法的なツールとサービスを創造的に悪用してマルウェアを配布する方法を示す比較的短命なものだった。
DarkGateは2018年に初めて登場し、マルウェア・アズ・ア・サービス(MaaS)の提供として進化し、限られた顧客数によって使用されている。
これには、侵害されたホストを遠隔で制御し、コードを実行し、暗号通貨を採掘し、リバースシェルを起動し、追加のペイロードをドロップする機能が含まれる。
このキャンペーンは、Microsoft Excel(.xlsx)ファイルで始まり、開かれると対象者に組み込まれた「開く」ボタンをクリックするよう促し、それによってSambaファイル共有上にホストされたVBSコードを取得して実行する。
PowerShellスクリプトは、PowerShellスクリプトをダウンロードして実行するように設定されており、その後、AutoHotKeyベースのDarkGateパッケージをダウンロードする。
DarkGateは、さまざまなアンチマルウェアプログラムをスキャンし、物理ホストまたは仮想環境で実行されているかどうかを判断するためにCPU情報をチェックすることにより、分析を妨げる。
また、リバースエンジニアリングツール、デバッガー、または仮想化ソフトウェアの存在を判断するためにホストの実行中のプロセスを調査する。
DarkGateのC2トラフィックは暗号化されていないHTTPリクエストを使用するが、データはBase64エンコードされたテキストとして難読化されている。DarkGateが侵入方法と分析への抵抗方法を進化させ続けるにつれて、強力で先制的なサイバーセキュリティ防御の必要性を強く思い起こさせる。
【編集者追記】用語解説
- Samba(サンバ):
LinuxなどのUNIX系OSで動作するソフトウェアで、Windowsのファイル共有やプリンタ共有の機能を提供します。いわば、LinuxマシンをWindowsのファイルサーバーのように振る舞わせるツールです。 - DarkGate:
2018年頃から活動が確認されている多機能マルウェアです。リモートアクセス、情報窃取、暗号資産マイニングなど、さまざまな悪意ある活動を行うことができます。
【参考リンク】
Sambaオフィシャルサイト(外部)
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
サイバーセキュリティの研究チームであるPalo Alto NetworksのUnit 42が、2024年3月と4月にかけて発生したDarkGateマルウェアキャンペーンについて報告しました。このキャンペーンでは、Sambaファイル共有を利用して、特に北米、ヨーロッパ、アジアの一部を対象に感染を広げました。Sambaファイル共有とは、異なるオペレーティングシステム間でファイルやプリンターなどのリソースを共有するためのプロトコルです。攻撃者は、公開されているSambaファイル共有を実行するサーバーにVisual Basic Script(VBS)やJavaScriptファイルを配置し、これらをトリガーとしてマルウェアの感染を開始しました。
DarkGateマルウェアは、2018年に初めて確認されて以来、マルウェア・アズ・ア・サービス(MaaS)として提供され、限られた顧客によって使用されています。このマルウェアは、侵害されたホストを遠隔で制御したり、コードを実行したり、暗号通貨を採掘したり、リバースシェルを起動したり、追加のペイロードをドロップするなど、多岐にわたる機能を持っています。
このキャンペーンの特徴は、Microsoft Excelファイルを介してユーザーに「開く」ボタンをクリックさせ、その後Sambaファイル共有上にホストされたVBSコードを実行させることでした。このプロセスを通じて、最終的にはDarkGateパッケージがダウンロードされ、感染が成立します。
DarkGateは、分析を妨げるために、実行されているアンチマルウェアプログラムのスキャンや、CPU情報をチェックして物理ホストか仮想環境かを判断するなど、高度な手法を用います。また、ホストの実行中のプロセスを調査し、リバースエンジニアリングツールやデバッガー、仮想化ソフトウェアの存在を検出します。
このキャンペーンは、合法的なツールやサービスを悪用してマルウェアを配布する攻撃者の創造性を示しています。また、DarkGateのようなマルウェアが侵入方法や分析への抵抗方法を進化させ続ける中で、サイバーセキュリティ防御の重要性が改めて強調されています。企業や個人は、セキュリティ対策を常に更新し、先制的な防御策を講じることが重要です。
このキャンペーンの発見は、サイバーセキュリティコミュニティにとって重要な情報であり、攻撃手法の理解を深め、将来的な脅威に対する備えを強化するための一助となります。また、Sambaファイル共有のような公開サービスを利用する際には、適切なセキュリティ対策を施すことの重要性を再認識させる事例とも言えるでしょう。
from DarkGate Malware Exploits Samba File Shares in Short-Lived Campaign.
