最近、南アジアの金融機関を標的としたサイバー攻撃が発生し、BRUSHWORMとBRUSHLOGGERという2つのカスタムマルウェアコンポーネントが使用されました。
ElasticSecurity Labsによって発見されたこの侵害は、プライマリバックドアとセカンダリキーロガーを使用して、銀行環境をひそかに侵害していました。
BRUSHWORMはプライマリモジュラーバックドアとして機能し、paint.exeという名前の悪意のある実行可能ファイルを通じて動作します。
実行時に、セキュリティ分析ツールを検出するための単純なサンドボックス回避チェックを実行します。マルウェアは、低い画面解像度、特定のデフォルトユーザー名、またはVMwareなどの既知のハイパーバイザー仮想化環境を検出すると、直ちに終了します。
マルウェアはMSGraphicsという名前のWindowsスケジュール済みタスクを作成することで、長期的な永続性を確立します。
この隠されたタスクは、ユーザーが侵害されたマシンにログインするたびにバックドアが自動的に実行されることを保証します。アクティブになると、BRUSHWORMはリモートコマンド・アンド・コントロールサーバーと通信を試みて、追加の悪意のあるペイロードをダウンロードします。
その操作を管理するために、マルウェアは感染したコンピューター上に特定の隠しフォルダーを作成します。これらのフォルダーは、メインプログラムの保存から盗まれたファイルの保持まで、攻撃のさまざまな部分を処理します。
BRUSHWORMはさらに、接続されたリムーバブルUSBドライブに感染できる危険なワームも備えています。金融セクターの従業員をだますために、Salary Slips.exeのような魅力的なソーシャルエンジニアリングファイル名を使用して自身をコピーします。
同時に、ドライブをスキャンして、貴重なドキュメント、スプレッドシート、プレゼンテーション、およびソースコードを盗みます。
感染したマシンがインターネットアクセスを備えていない場合、BRUSHWORMはネットワーク制限を回避するためのバイパス戦略に切り替わります。盗まれたデータを直接リムーバブルUSBドライブにコピーして、エアギャップネットワークから情報を盗むための物理的なブリッジを作成します。
BRUSHLOGGERは正当なシステムファイルを装う補足的な32ビットWindowsキーロガーコンポーネントとして動作します。
libcurl.dllと偽装し、DLLサイドロードと呼ばれる秘密の技術を通じて実行されます。複数のバージョンが同時に実行されるのを防ぐために、キーロガーは標準的なWindows Update識別子を装った特定のソフトウェアミューテックスを使用します。
キーロガーは、低レベルのWindowsキーボードフックをインストールすることで、システム全体のユーザー入力をすべてキャプチャします。
タイムスタンプと、アクティブなフォアグラウンドウィンドウの正確なタイトルとともに、すべてのキーストロークを積極的に記録します。
このような詳細なコンテキスト追跡により、攻撃者は盗まれたパスワードとメッセージを特定のアプリケーションまたはセキュアなWebサイトに簡単にマップできます。
セキュリティ研究者は、マルウェアのバイナリのどちらも高度なコード難読化または複雑なパッキング技術を使用していないことに注目しました。
プログラミング全体の品質は低く、elastic作成者は経験不足の可能性があり、人工知能ツールに依存していた可能性があります。これらの欠点にもかかわらず、アクティブなサーバーと複数のテストバージョンは、脅威行為者がこのツールセットを継続的に改良していることを示しています。
翻訳元: https://cyberpress.org/brushworm-hits-finance-firm/