TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ScrubCrypt回避ツールを介して展開されるRedLine Stealerマルウェア

難読化ツールScrubCryptの新バージョンが、RedLine Stealerマルウェアで組織を標的にするために使用されていると、不正検知ネットワークのHuman Securityが警告した。

HumanのSatori脅威インテリジェンスチームは、ダークウェブのマーケットプレイスで販売されているScrubCryptの新ビルドを発見し、RedLine Stealerを介して同社顧客に対するアカウント乗っ取りおよび不正攻撃の開始に用いられているのを確認したと述べた。

新しいScrubCryptビルドの仕組み

ScrubCryptは、実行可能ファイルをバッチファイルに変換することで検知を回避するために脅威アクターが使用するツールである。2023年3月には、脅威アクター「8220 Gang」が、悪用可能なOracleの標的にするWeblogic Serverに対して使用していたことが判明した。

研究者らによると、この新しいScrubCryptビルドを販売・ホスティングしているウェブサイトは、米国やEUなどの地域の法執行機関の手が及ばないよう、ロシアで登録・ホスティングされているという。

しかし、関連するRedLine Stealerサンプルから盗まれた認証情報を受け取り、指示を送信するコマンド&コントロール(C2)サーバーは、データセンタープロキシおよび仮想サーバーを提供する米国のプロバイダーによってホストされている。この手法は、標的国内にあるサーバーへマルウェアが通信(コールバック)するようにすることで、特定のファイアウォール保護を回避する助けとなるよう設計されている可能性が高い。 

ダークウェブのマーケットプレイスでScrubCryptを宣伝するバナー広告。出典:Satori脅威インテリジェンスおよびリサーチチーム
ダークウェブのマーケットプレイスでScrubCryptを宣伝するバナー広告。出典:Satori脅威インテリジェンスおよびリサーチチーム

研究者らは、新しいScrubCryptビルドの動作を理解するために攻撃をリバースエンジニアリングした。標的に感染させるため、ソーシャルエンジニアリング攻撃などを通じて、被害者の端末に.batファイルがダウンロードされることが多い。この.batファイルにはbase64でエンコードされたペイロードが含まれており、ペイロードを難読化するために意味不明な繰り返し文字列が全体に散りばめられている。

文字列を除去し、AESで暗号化されたファイルを復号したところ、研究者らはペイロードがgzipで圧縮されたデータであることを明らかにした。

これらのファイルのデータストリームを抽出すると、難読化された.NET実行可能ファイルが見つかった。このペイロードを復号(デオブファスケーション)した後、Satoriチームは、そのファイルがPと呼ばれる埋め込みリソースを読み込むことを確認した。次にサンプルは、.NET実行可能ファイルに埋め込まれたキーを用いたXOR暗号でPを復号し、最終的なWindows実行可能ペイロードを得る。

研究者らは最終ペイロードがRedLine Stealerであることを突き止めたが、同じ手法を用いれば、他のペイロードも暗号化してアンチウイルス保護をすり抜けさせることが可能だと指摘した。

Redline Stealerは、Cookie、ブラウザのログインデータ、ローカルに保存されたログイン情報を窃取することでアカウントを侵害するよう設計された、よく知られたマルウェアである。これにより、脅威アクターは盗んだ認証情報でログインしたり、ブラウザから盗んだCookieを再利用したりして、アカウント乗っ取りやアカウント不正攻撃を実行できる。

ブログ投稿には次のように記されている。「この攻撃は、アカウントを侵害する別の手段を象徴している。漏えい/窃取された認証情報に依存し、その後ブルートフォース攻撃を行うのではなく、一部の脅威アクターは、この攻撃で用いられたRedLine Stealerペイロードのようなスティーラーを使い、マルウェアベースの手法でアカウント不正を行うことを好む。」

組織がこの脅威を軽減する方法

Human Securityは、同社顧客が以前にもRedLine Stealerの標的となっていたことを認めつつも、このScrubCryptビルドを組み込んだ事例は今回が初めてだと述べた。

同社は、今回の調査結果は、攻撃者が強化された防御を先回りするために手法を絶えず進化させていることを浮き彫りにしていると述べた。

2023年11月30日に公開されたブログには、次のように記されている。「RedLine StealerのようなマルウェアやScrubCryptのような難読化ツールの新ビルドが発見され、アンチウイルス保護に組み込まれるたびに、脅威アクターは振り出しに戻り、次のビルドの設計を始める。」

同ブログは、この脅威を軽減するため、特にユーザープラットフォームにネイティブのダイレクト/プライベートメッセージ機能を備える組織に対し、次の対応を推奨した。

  • Cookie窃取攻撃を検知し軽減する保護策を導入する
  • 他の脅威で漏えいまたは窃取された認証情報を持つユーザーをフラグできるツールを使用する
  • 侵害されたユーザーに認証情報の変更を強制し、二要素認証(2FA)で本人確認を行う
  • 進化する攻撃手法を詳述した脅威リサーチの最新情報を継続的に把握する

翻訳元: https://www.infosecurity-magazine.com/news/redline-stealer-malware-scrubcrypt/

ソース: infosecurity-magazine.com
#.NETマルウェア #C2(コマンド&コントロール) #RedLine Stealer #ScrubCrypt #アカウント乗っ取り(ATO) #クッキー窃取 #ソーシャルエンジニアリング #ダークウェブ市場 #情報窃取マルウェア #難読化(オブファスケーション)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新