出典:idp australia collection(Alamy Stock Photo経由)
新興のマルウェア・アズ・ア・サービス(MaaS)運営が、自作の新たなリモートアクセス型トロイの木馬(RAT)を発表した直後に明るみに出た。
ここ数週間、研究者たちは独自に新たなサイバー犯罪脅威クラスターの全貌を徐々に明らかにしてきた。最初に発見されたのは、何百回も拡散されたマルウェアローダーで、「CastleLoader」と命名された。その後、これを取り巻く広範なMaaSサービスが明らかになり、「CastleBot」と呼ばれるようになった。さらに、これらを支えるインフラを特定し、「CastleRAT」(別名「NightShadeC2」)と呼ばれる自作トロイの新種も確認された。これらは、MaaSの顧客によって、罠が仕掛けられたGitHubリポジトリや、ClickFix手法、偽ソフトウェアを宣伝する悪意あるウェブサイト、その他の方法で被害者に配布されている。
しかし、Recorded FutureのInsikt Groupが「TAG-150」と名付けたこのグループについては、まだ多くの疑問が残っている。例えば、なぜダークウェブ上でほとんど目立った存在感を示さずに、これほどまでに拡散できたのか?
TAG-150の詳細
TAG-150に関連付けられた最初のマルウェアサンプルは、3月にマルウェアリポジトリで発見された。夏の中頃までに、現在CastleLoaderとして知られるマルウェアは1,600件以上の攻撃で使用された。そのうち約470件が感染に成功しており、成功率は28.7%とかなり高い。
当時、特に注目されたのは感染した対象だった。最初に報告を出したProdaftの研究者は、400件以上の被害者を「重要」とし、その中には米国政府機関が多数含まれていたと指摘している。最近では、Insiktも被害者のIPアドレスの大半が米国内であることを確認している。
しかし、研究者によれば、これは典型的な高度持続的脅威(APT)活動とは異なっていた。ローダーには使いやすいコマンド&コントロール(C2)パネルが搭載されており、攻撃者はそこからRedLineなどのインフォスティーラー、StealC、DeerStealer、HijackLoader、MonsterV2、SectopRATなど、さまざまな商用ツールを展開できた。
攻撃手法は多様で、異なる攻撃者や動機が存在することを示していた。例えば、WarmCookieやNetSupportのバックドアが投入され、これらはランサムウェア感染と関連付けられているケースもあった。かつてはランサムウェアとの関連が示唆される程度だったが、今週InsiktがCastleLoaderが既知のPlay Ransomwareによるフランスの組織への攻撃に関与した可能性を示す証拠を発見したことで、関連性がさらに強まった。
つまり、これは非常に分散型で、おそらくMaaS型の運営だった。しかし、ここ数ヶ月の間に、TAG-150に関連するダークウェブ上の広告や投稿を発見した研究者はいなかった。「これはユーザーベースが限定的であり、仮に宣伝されていたとしてもクローズドなコミュニティ内だけであることを示唆している」と、Recorded Futureのシニア脅威インテリジェンスアナリスト、Jerrilee Pludeは推測する。「この排他性が、Lummaのような注目度の高いMaaSサービスと違い、広範な普及や法執行機関による摘発リスクを抑えているのでしょう。」
Pludeは「これはまた、潜在的な顧客が平均してより高度で、サイバー犯罪エコシステム内でのコネクションも強いことを示している可能性もある」と警告している。
CastleRAT C版とPython版の違い
TAG-150の最新の動向は、商用ツールの利用にとどまらず、自ら異なる種類のRATを開発・進化させている点だ。軽量なプログラムで、C言語版とPython版が存在する。
他にも多くのRATが存在する中で冗長に思えるかもしれないが、Pludeは「これはTAG-150が完全なツールセットをパッケージ化することで、CastleLoader単体よりも高額で提供することを狙っている可能性がある」と推測する。カスタムツールは、脅威アクターが作戦をきめ細かく迅速に適応させることを可能にする。サードパーティ製RATが既存の機能に依存するのに対し、カスタムRATはより速いペースで革新・回避できる。これはTAG-150の動向と一致している。」
CastleRATの各種は、表面的な違いにとどまらない。ほぼ2つの独立したマルウェアプログラムと考えられる——より派手なC版と、より洗練されたPython版だ。
C版は3月に登場したが、9月になるまでセキュリティ研究で公表されなかった。機能は非常に豊富で、クリッパー、キーロガー、スクリーンキャプチャ、ブラウザプロセスの終了、ファイルのインジェクションやブラウザ偽装による実行が可能。8月末以降は、SteamのゲーミングコミュニティをC2ドメインのデッドドロップとして利用している。一時期は被害者の位置情報を市区町村や郵便番号レベルまで取得し、VPNの利用も検知できたが、最近のバージョンではこの詳細な位置特定機能は削除されている。
こうした怪しい挙動と、ステルス機能の欠如のため、C版CastleRATは正体が特定されていなくても多くの汎用アンチウイルスソフトに検知されてしまう。一方、Python版はある程度のステルス性を意識して設計されている。
eSentireの研究者が8月末に最初に発見し、「PyNightshade」と命名した。研究者はすぐに、CastleLoaderがRATを感染システムにロードすると、Windows Defenderによる検出から除外するようユーザーに要求することに気づいた。しかも、ユーザーは拒否できず、同じプロンプトがループし続け、承諾しない限りPCが使えなくなるという厄介な仕様だった。
Py-CastleRATは、C版と同様に実行ファイルやDLLのダウンロード、シェルコマンドの実行、SteamでのC2デッドドロップなどの機能を持つが、他の多くの機能は削除され、自己削除機能などよりステルス性の高い機能に置き換えられている。現時点でこのPython版は、ほとんどのアンチウイルスエンジンに検知されていない。
「複数の、おそらく自作のマルウェアファミリーを展開してきた経緯から、TAG-150は近い将来、さらなるマルウェアを開発・リリースする可能性が非常に高い」とInsiktは結論付けている。「また、被害者の拡大やMaaSとしての運営強化を目的に、配布活動を拡大する可能性も高いと評価している。」
翻訳元: https://www.darkreading.com/threat-intelligence/secretive-maas-group-tag-150-novel-castlerat