出典: Science Photo Library via Alamy Stock Photo
連邦当局、国際的な法執行機関、および多数の民間組織が協力し、Danabotを弱体化させるための数年にわたる取り組みを行い、悪名高いマルウェアの運営だけでなく、国家目的のためにサイバー犯罪の代理人を利用するロシア政府にも大きな打撃を与えました。
米国防犯罪捜査局(DCIS)は、ボットネットの米国内サーバーインフラを押収し、「脅威アクターが侵害されたシステムにコマンドを発行する能力を効果的に無力化しました」と、摘発活動に参加したセキュリティベンダーのCrowdStrikeは述べています。このグループはScully Spiderという名前で追跡されました。
「この押収により、Danabotのコマンド・アンド・コントロール(C2)サーバーが感染したマシンのネットワークを指示、更新、または操作するために使用されることができなくなり、オペレーターの制御を断ち切り、被害者に対するさらなる悪意のある活動を防ぎます」と、CrowdStrikeのCounter Adversary Operationsのブログ投稿によると述べています。
カリフォルニア中央地区の米国地方裁判所も、Danabotを開発および展開したとして起訴されたロシアを拠点とするサイバー犯罪組織の16人のメンバーを起訴しました。先週公開された裁判所文書によると、マルウェアは2018年に情報窃取およびバンキングトロイの木馬として初めて発見されましたが、最終的には広範なマルウェア・アズ・ア・サービスおよびボットネット事業に変貌し、広範なネットワークを通じてランサムウェアやその他のペイロードの展開を促進しました。
関連記事:企業がAIを活用してイベントセキュリティと運営の混乱を抑える
この摘発は、先週のLumma Stealer摘発に続く、主要なサイバー犯罪企業の最近の大規模な妨害の2回目です。
ボットネットのリーダーが起訴される
Danabotの2人のリーダー、アレクサンドル・ステパノフ(39歳、別名「JimmBee」)とアルテム・アレクサンドロヴィッチ・カリンキン(34歳、別名「Onix」)、共にロシアのノヴォシビルスク出身が起訴された者の中に含まれています。両者とも複数の刑事告発を受け、刑務所に入る可能性がありますが、現在はロシアに留まっており、拘束される可能性は低いです。
ステパノフはDanabotの主要な開発者および管理者として活動し、カリンキンはDanabotのインフラストラクチャの共同管理者であり、販売業務を指揮しています。両者は地下フォーラムでマルウェアを宣伝し、提携者にDanabotを広めるよう奨励し、特別価格で配布バンドルを提供することでMatanbuchusなどのマルウェアクリプターやローダーの作者と提携しました。ESETのTomáš Procházkaによるブログ投稿によると述べています。
その妨害時点で、Danabotの主要な機能には、ブラウザ、メールクライアント、FTPクライアント、およびその他の人気ソフトウェアからのさまざまなデータの窃取、キーロギングと画面録画、被害者のシステムのリアルタイムリモートコントロール、ファイルの取得、ZeusのようなWebインジェクトおよびフォームグラビングのサポート、任意のペイロードのアップロードと実行が含まれていました。
関連記事:データ侵害後、複数のストーカーウェアアプリがオフラインに
広大なロシアのサイバー犯罪組織
調査により、Danabotクルーとその提携者がマルウェアを広めるために使用したさまざまな方法、および正当な企業と同様に提携者にインフラストラクチャとサポートを提供する複雑なビジネス企業が明らかになりました。
オンラインのペルソナであるJimmBeeとOnixを通じて行動し、ステパノフとカリンキンは地下フォーラムでマルウェアを宣伝し、新しい顧客を獲得するためにさまざまなレンタルオプションを提供しました。提携者は新しいDanabotビルドを生成する方法を選択し、その後は自分たちのキャンペーンを通じてこれらのビルドを配布する責任を負いました。
「Danabotの作者が提携者に提供する典型的なツールセットには、管理パネルアプリケーション、ボットのリアルタイム制御用のバックコネクトツール、およびボットと実際の[C2]サーバー間の通信を中継するプロキシサーバーアプリケーションが含まれています」とESETのProcházkaは述べています。
関連記事:ロシアの脅威アクターTAG-110がタジキスタンでフィッシングを行う
提携者は通常、フィッシングキャンペーンを使用して被害者のコンピュータを感染させ、悪意のある添付ファイルやハイパーリンクを含む電子メールメッセージを介してDanabotを広めました。コンピュータがDanabotに感染すると、Danabotオペレーターが制御するボットネットの一部となり、さらなる悪意のある活動に従事しました。
国家: クレムリンによるDanabotの使用
Danabotのアクター自体はロシア政府の一部ではありませんが、クレムリンはこの犯罪グループの活動を大いに容認し、ロシアのウクライナ侵攻を支援するための攻撃においてDanabotを直接使用しました。分散型サービス拒否(DDoS)攻撃が、紛争が始まった直後にウクライナ国防省に対して行われたとESETは述べています。
「Danabotはe犯罪エコシステムにおける多産なマルウェア・アズ・ア・サービスプラットフォームであり、ロシアの関連アクターによるスパイ活動に使用されることで、ロシアのe犯罪と国家支援のサイバー作戦の境界が曖昧になります」と、CrowdStrikeのCounter Adversary Operationsの責任者であるアダム・マイヤーズはDark Readingに語っています。
調査はまた、ロシアの情報機関とのつながりを持つスパイ活動に特化したDanabotのサブボットネットを発見しました。これは、ウラジミール・プーチン政権が国家目的のために犯罪の代理人を利用する計算された戦略を示唆しています。ボットネットの妨害は、国際舞台でそのような活動が容認されないという明確なメッセージをクレムリンに送ります。
「この摘発は、財政的動機によるサイバー犯罪を妨害するだけでなく、犯罪と国家支援の活動を融合させた広範なロシアのサイバー脅威に対抗する上で、官民パートナーシップの重要性を示しています」とCrowdStrikeは述べています。
FBIと国防省のDCISに加えて、Danabot摘発に参加した他の国際当局には、米国司法省、ドイツの連邦刑事局、オランダの国家警察、オーストラリア連邦警察が含まれます。セキュリティ企業のFlashpoint、Intel471、Proofpoint、Team Cymru、Zscaler、インターネットの巨人Amazon、Google、PayPalもCrowdstrikeとESETと共に民間セクターの協力者として参加しました。
Danabotがその活動に対するこのような大規模な打撃から回復できるかどうかはまだ分かりませんが、主要なリーダーが依然として逃亡中であるため、彼らが完全にゲームから外れているわけではありません。マルウェアからの差し迫った脅威は今のところ抑えられたように見えますが、組織は強力な犯罪企業の潜在的な危険から完全に解放されているわけではなく、警戒を続けるべきです。
翻訳元: https://www.darkreading.com/threat-intelligence/danabot-takedown-russian-cybercrime