SymantecおよびCarbon Blackの研究者は、Speagleという隠密性の高い新しい情報盗難マルウェアを発見しました。
このマルウェアは、中国企業EsafeNetが開発した正当なドキュメントセキュリティプラットフォーム「Cobra DocGuard」をハイジャックして、機密データを秘密裏に収集し、流出させます。
侵害されたCobra DocGuardサーバと通信することにより、Speagleは自身のデータ盗難を正当なネットワークトラフィックとして偽装します。
特に注目すべきことに、このマルウェアの特定の亜種は高度にターゲット化されており、感染したマシンから中国の弾道ミサイルに関連するドキュメントを明確に検索しています。
Speagleは32ビットの.NET実行ファイルであり、特定のレジストリキーまたはハードコードされたパスを通じてCobra DocGuardのインストールディレクトリを見つけることで攻撃を開始します。
確立されると、マルウェアは3つの異なるフェーズでデータ収集を実行し、中断されても部分的な成功を確保するため、各ステップの後にデータを流出させることを試みます。
最初のフェーズでは、Speagleはcobra DocGuard設定ファイルからWindowsユーザー名、ホスト名、特定のクライアント識別トークンなどの基本的なシステム詳細情報を収集します。
盗まれた情報を流出させるために、マルウェアはデータをXML構造にシリアル化し、Deflateアルゴリズムを使用して圧縮し、AES-128 CBCモードで暗号化します。
暗号化されたデータは、ターゲットとなった組織がホストしている侵害されたCobra DocGuardサーバにHTTP POSTリクエストを通じて送信され、正常なネットワーク操作に効果的に溶け込みます。
第2フェーズでは、Speagleはネットワーク設定、実行中のプロセス、接続されたドライブを含むシステム環境をマップアウトするためにWindows Management Instrumentationクエリを実行することで、収集範囲を拡大します。
ローカルドライブとネットワークドライブを再帰的にスキャンし、特にユーザーディレクトリをターゲットにしてファイル名とサイズのリストを作成します。
第3フェーズでは、マルウェアはWebブラウザーのデータをターゲットとし、ブラウザー履歴、自動入力情報、ダウンロード、ブックマークに関連するSQLiteデータベースをアプリケーションデータディレクトリで検索します。
マルウェアはこの機密情報を転送用にカスタムデータ構造に抽出します。Speagleの特定の亜種はさらに、航空宇宙、複合材料、および東風弾道ミサイルに関連するターゲットキーワードをアクティブに検索しています。
Speagleの正確な初期感染ベクトルは確認されていません。しかし、研究者たちはそれがサプライチェーン攻撃を通じて配布される可能性があると疑っています。
マルウェアはセキュリティCobra DocGuardインフラストラクチャ(自己削除ドライバーとコマンド・アンド・コントロールサーバーを含む)に大きく依存しており、脅威がトロイの木馬化されたソフトウェアアップデートとして配布された可能性があることを強く示唆しています。
Cobra DocGuardはサプライチェーン攻撃で悪用される歴史があり、特に2022年と2023年のCarderbeeなどの高度な持続的脅威グループによるものです。
現在Runningcrabという通称で追跡されているSpeagleの背後にある脅威行為者は、意図的なターゲット指定を示しており、国家支援の産業スパイ行為または高度に洗練された民間請負業者のいずれかを指しています。
翻訳元: https://cyberpress.org/speagle-hijacks-cobra-docguard/