ハッカーは長年にわたって存在するPhorpiex(Trik)ボットネットを悪用して、大規模なランサムウェア、セクストーション、仮想通貨盗難操作を実行し、1つのインフラストラクチャを多目的な犯罪ツールに変えています。
Twizという新しいバリアントは、ボットネットにハイブリッドアーキテクチャを与え、従来のコマンド・アンド・コントロール(C2)とピアツーピア(P2P)プロトコルを組み合わせており、感染したマシンが互いにコマンドとノードリストを直接共有できるようになっています。
このハイブリッド設計により、PhorpiexはいくつかのC2サーバが削除されても動作を続けることができます。ボットはTCPとUDP経由で新しいピアとペイロードを交換できるためです。
レポートによると、Phorpiexはまた、Trikとしても知られ、基本的なスパムとワームから、複数のマルウェア株を通じて被害者を金銭化するための弾力的なプラットフォームに進化した10年前のボットネットです。
オペレーターはこの堅牢性を利用して、ランサムウェア配信、セクストーションスパム、仮想通貨盗難のための新しいペイロードを継続的に世界規模で配信しています。
大規模なランサムウェア配信
最近のテレメトリは、Phorpiexが高い容量のランサムウェアキャンペーンを配信するためのローダーとして積極的に使用されていることを示しており、LockBitBlackおよびGlobal系ランサムウェアにリンクされた株が含まれています。
あるキャンペーンでは、感染したホストは継続的にPhorpiex C2エンドポイントをポーリングし、Windowsドメインまたはサーバーもしくはドメインコントローラーとして実行されているシステムに対してのみLockBitBlackを条件付きで削除し、高い価値のエンタープライズターゲットに対する明らかな優先度を示しています。
別の操作では、ボットネットは外部ジオロケーションAPIを使用して、中国の被害者にのみGlobal系のランサムウェアを配信し、複数のサンプル全体でダウンロードURLをランダム化して、インシデントが一元的に調整されている間、無関係に見えるようにしました。
その後の波は、ヨーロッパ、北米、および中東全体の国々のリストに拡大し、何百万ものメールアドレスに悪意のあるZIPファイル添付を送信した大規模なスパム実行によってサポートされました。
ランサムウェアを配信するのと同じスパムインフラストラクチャが、古典的なセクストーション詐欺にも燃料を供給しています。さらに、ボットネットのコアペイロードは、感染したUSBデバイスを通じたワーム様の動作を示しており、後で説明します。
Phorpiexオペレーターは、C2から巨大なメールリストを取得し、各リストはおよそ10,000~11,000アドレスで、セクストーションメッセージの波を送信するDirect-to-MXスパムモジュールを展開します。被害者のデバイスがリモートアクセストロジャンによって侵害され、ウェブカメラが秘密裏に記録されたと主張します。
これらのメールは「差出人」フィールド内の受信者自身のアドレスをスプーフして信頼性を高め、短期間でBitcoinでの支払いを要求し、疑わしい親密なビデオをコンタクトとソーシャルネットワークに流出させると脅迫しています。
キャンペーンは一度限りのものではなく、進行中です。研究者は、少なくとも2023年以来フォーラムで同じコアメッセージテンプレートを追跡しており、要求されている身代金は約1,400~1,600米ドルからBitcoinで約1,800米ドルに増加しており、オペレーターは「インフレーション」に対して調整しています。
暗号クリッピングはPhorpiexの最も利益をもたらし、ステルスな機能の1つのままです。感染したシステムでは、ボットは隠れたウィンドウを作成し、Windowsクリップボードチェーンにフックし、変更を監視し、仮想通貨ウォレットアドレスに一致するテキストのパターンを検査します。
コンテンツには、攻撃者によって制御される秘密鍵によってRSA暗号化および署名された256バイトヘッダーが含まれています。これらのエンドポイントから取得されたデータはカスタム形式であり、サンプルが整合性チェックと後続の復号化を実行できます。
被害者が資金を送信するためにウォレットアドレスをコピーする場合、マルウェアはそれを多くの異なる仮想通貨にまたがる少なくとも80以上の攻撃者制御アドレスの1つで静かに置き換え、支払いをリアルタイムで効果的に転用します。
数年間にわたって、Phorpiex関連のクリッピング活動は数千の暗号取引をハイジャックし、数十万ドルのビットコイン、イーサリアム、ERC-20トークンを盗んでおり、数十のブロックチェーンをサポートしています。
その拡散方法と弾力性の維持方法
ライブトランザクションを超えて、Phorpiexはまた、クリップボードデータとローカルファイルのBIP-39ニモニックシードフレーズを検索し、攻撃者が後でウォレットを完全に引き継ぐことができるようにC2に外部化するモジュールを展開しています。
Phorpiexサンプルはワーム様の動作を示し、感染したデバイスを継続的にスキャンして新しいドライブを探し、特にDRIVE_REMOVABLEまたはDRIVE_REMOTEとして指定されたものを探します。
Phorpiexは複数のチャネルを通じて拡散しています:入口ポイントが変更された感染した実行可能ファイル、欺瞞的な.lnkショートカットを使用したリムーバブルドライブとリモートドライブ経由のワーム様の伝播、および武装した添付ファイルを含む積極的なメールスパム。
埋め込まれると、ボットは最大512ノードのリストと保存されたコマンドを含む永続的な構成ファイルを維持し、RSA保護されたRC4暗号化ペイロードを使用して、秘密鍵を持つオペレーターのみがボットネットに新しいタスクをプッシュできるようにします。
コアボットは独自の「ウェブマーク」メタデータを削除し、レジストリのオートラン用に自身を登録し、「マイクロソフトコーポレーション」という名前のファイアウォールルールを追加して、ネットワークトラフィックを静かに許可します。
この暗号化制御は、冗長なVPSホステッドC2サーバーおよびUPnPを介した虐待されたホームルーターと組み合わせて、Phorpiexを世界中のランサムウェア、セクストーション、仮想通貨クリッピングキャンペーン用の耐久的な配信ネットワークにします。
翻訳元: https://gbhackers.com/phorpiex-botnet/
