BlackFogの研究者によると、SaaSツールは包括的なランサムウェアキャンペーンの実行障壁を低下させる。
脅威アクターがAIを活用して攻撃を行うのでも十分に悪いことですが、今度は新しいリモートアクセストロイの木馬(RAT)にアクセスでき、単一の管理パネルからWindows コンピュータへのデータ盗難とランサムウェア攻撃を簡単に実行できるようになりました。
このツールはSteaeliteと呼ばれ、BlackFogの研究者によると、昨年11月からアンダーグラウンドサイバー犯罪サイトで宣伝され、顧客が利用可能な状態です。さらに、YouTubeにはその機能をアピールするプロモーションビデオがあります。
このツールは、洗練された包括的なランサムウェアキャンペーンの実行障壁を低下させることができます。
しかし、BlackFogのCEO Darren WilliamsはCSOに対し、これは彼が見た中で最も高度なRATではないと述べました。「ここでのユニークな側面は」と彼は言いました。「収束です。Steaeliteはリモートアクセス、認証情報の収集、データ抽出、およびランサムウェア(現在開発中)を1つのパッケージに統合しています。」
伝統的には、彼が説明したように、これらの機能はサイバー犯罪ツールチェーンのさまざまな部分を占めていましたが、Steaeliteはこれらの機能を統合し、オペレーターに単一のブラウザベースのダッシュボードから永続的なアクセス、監視、およびデータ盗難を提供します。そして、ランサムウェアモジュールが完成したら、「オペレーターはまずデータを抽出してから暗号化することができ、ツールを切り替えることなく二重恐喝が可能になります。これはかなりまれです。」
「ビジネス全体を完全に侵害するのに十分な力です。」と彼は指摘しました。「被害は被害者のアクセスレベルに応じてスケーリングされるため、特権認証情報を持つ1人の感染した従業員が環境全体のキーを譲ることができます。」
10年ほど前、ある研究者は250以上のRATをカウントしており、脅威アクターは進化する防御を回避するために新しいRATを継続して作成しています。今日では、Malwarebytesは現在最も知られているRATをSubSeven、Back Orifice、ProRat、Turkojan、Poison-Ivyとしてリストアップしています。
そして今月初め、Point Wildのセキュリティ研究者は、多段階感染チェーンを使用して侵害されたシステムに永続的なメモリ常駐アクセスを確立し、機密データを盗む別のWindowsマルウェアキャンペーンを明らかにしました。
RATは、従業員がフィッシング餌をクリックすることや、脅威アクターがスタッフを必要なソフトウェアをインストールするよう騙すなど、多くの方法で拡散されます。そのため、セキュリティ意識向上トレーニングは主要な防御策です。
Steaeliteに含まれるもの
ブラウザベースのSteaeliteツールキットには、リモートコード実行、ファイル管理、ライブストリーミング、Webカメラとマイクへのアクセス、プロセス管理、クリップボード監視、パスワード回復、インストール済みプログラムの列挙、位置追跡、任意のファイル実行、URLを開く、DDoS攻撃、およびVB.NETペイロードコンパイルのモジュールが含まれています。
さらに、「高度なツール」パネルはランサムウェア展開、隠れたRDP(リモートデスクトップ管理)アクセス、Windows Defenderを無効にし、除外管理を行う能力、および永続化インストールを提供します。
リアルタイムスクリーンストリーミング機能は、被害者のデスクトップを「ライブストリーム」インジケーターとともに表示します。「Webカメラとマイクモジュールと組み合わせると、これはSteaeliteを被害者が接続している限り永続的な監視プラットフォームに変えます。」とレポートは述べています。
「開発者ツール」パネルは、キーロギング、クライアント対被害者チャット、ファイル検索、USB拡散、ボット削除(競合するマルウェアの削除)、メッセージボックス配信、壁紙変更、UACバイパス、およびコピー・ペースト操作中に暗号通貨ウォレットアドレスを攻撃者の制御下にあるアドレスと交換するクリッパーを追加します。
おそらくCSO及びinfosecリーダーにとって最も懸念されるのは、このツールは単一の脅威アクターが同じダッシュボードから被害者のファイルを閲覧し、ドキュメントを抽出し、認証情報を収集し、ランサムウェアを展開することを可能にします。つまり、二重恐喝を可能にします。
通常、二重恐喝には別のツールやステップが必要とBlackFogは言います。初期アクセスと抽出のためのマルウェア、その後暗号化のための別のランサムウェアペイロード。多くの場合、初期アクセスブローカーとランサムウェアアフィリエイト間の調整が必要です。
実際のところ、レポートによると、自動化された認証情報の収集とは、犯罪オペレーターがダッシュボードと相互作用する前にデータ盗難が始まることを意味します。
ツールのロードマップ上のAndroidランサムウェアモジュールはこれをさらに拡張するとレポートは述べています。「開発者が[ランサムウェアモジュール]を提供した場合、単一のSteaeliteライセンスは企業のWindowsエンドポイントと従業員が認証とメッセージング用に使用するモバイルデバイスの両方をカバーできます。」
Steaeliteはサービスとしてのマルウェアです。販売者はアクセスに月額$200、または3ヶ月で$500の価格を提示しており、購入者はTelegramを通じて販売者に連絡して支払いを手配し、アクセスを受け取ります。
ディフェンダーはペリメータ防御だけでなくデータ抽出防止に焦点を当てるべきだとWilliamsは言いました。「Steaeliteのようなツールは初期防御を回避し、データを素早く抽出することを優先すると想定されます。」と彼は言いました。「抽出が発生する時点での停止は、すべての可能な初期感染ベクトルの防止を試みるより信頼性が高いです。」
