2018年以降、英国、米国、インドの組織を標的としてきたDarkGateマルウェアを用いた攻撃の背後には、ベトナム拠点のサイバー犯罪者がいるとみられている。
WithSecureの研究者は、これらの攻撃を、最近のMetaのビジネスアカウントを標的としたキャンペーンで使用されているDucktail情報窃取型マルウェアを用いる、活動中のサイバー犯罪者クラスターに結び付けて追跡している。
DarkGateとDucktailのキャンペーンは、研究者が観測した非技術的な指標に基づいて相互に関連付けられている。これには、おとりファイル、テーマ、標的、配布手法が含まれる。例えば、初期侵入ベクターはLinkedInのメッセージであることが多く、被害者をGoogle Drive上の悪意あるファイルへリダイレクトする。
WithSecureは、LNKファイルのメタデータ、Canvaのデザインサービス/ツールで作成されたPDF、無許諾版のEXEMSIで作成されたMSIファイルなど、関連するメタデータも分析した。
WithSecureのシニア脅威インテリジェンス・アナリストであるStephen Robinson氏は次のようにコメントした。「私たちが観測したDarkGate攻撃には非常に強い識別子があり、Ducktailを含む別の情報窃取型マルウェアやマルウェアを用いた、これまでに確認した他の攻撃との関連を確立できました。観測結果に基づけば、Meta Businessアカウントを標的とする、私たちが追跡してきた複数のキャンペーンの背後に単一のアクターがいる可能性が非常に高いです。」
幅広い活動
これらのキャンペーンは初期感染経路が非常によく似ている一方で、研究者は2つのペイロードの機能が大きく異なることを認めている。
- Ducktailは専用の情報窃取型マルウェアであり、実行されるとローカルデバイスから認証情報とセッションCookieを迅速に窃取し、攻撃者へ送信する。また、Facebookに焦点を当てた追加機能も備えており、Facebook BusinessアカウントのセッションCookieを見つけると、攻撃者を管理者としてアカウントに追加しようと試みる。
- DarkGateは情報窃取機能を備えたリモートアクセス型トロイの木馬(RAT)である。Ducktailとは異なり、永続化の達成を狙ってステルスに動作する。また、Cobalt Strikeやランサムウェアの展開など、さまざまな目的で使用される。DarkGateは複数の無関係なアクターによっても使用されているようだ。しかし、「Ducktailキャンペーンと最も近く、重なり合うDarkGateの挙動は、同じベトナムの脅威アクター・クラスターによる可能性が高い」という。
研究者はまた、LobshotおよびRedline Stealerマルウェアも、同じベトナム拠点の脅威アクターに関連付けている。
Robinson氏は、サイバー犯罪サービス化(CaaS)産業の成長により、特定のキャンペーンの背後にいるグループの特定が難しくなっている点を強調した。
同氏は次のように述べた。「DarkGateは長い間存在しており、ベトナムのこのグループやクラスターだけでなく、多くのグループがさまざまな目的で使用しています。その一方で、アクターは同一キャンペーンで複数のツールを使用できるため、マルウェアに基づく分析だけでは活動の真の範囲が見えにくくなる可能性があります。」
翻訳元: https://www.infosecurity-magazine.com/news/darkgate-malware-vietnam/
