最近の脅威インテリジェンスレポートで観測された最も危険なマルウェアファミリーの1つとして、新たに分析されたKamasersという名のDDoS ボットネットが出現しました。これは、マルチベクトル分散サービス妨害(DDoS)機能と、感染したシステムをランサムウェア展開、データ窃取、より深いネットワーク侵入に対して開放する組み込みローダー機能を組み合わせています。
Kamasersは、HTTP GET/POSTフラッド、TLSハンドシェイク枯渇、UDPおよびTCPフラッド、GraphQL APIの悪用、WAFおよびCDNを対象とした高度なバイパス技術など、幅広いベクトルにわたって、アプリケーション層とトランスポート層の両方のDDoS攻撃を実行するように設計された高度なマルウェアボットネットです。
Kamasersを従来のDDoSツールと区別するものは、マルウェアローダーとしての二次機能です。これにより、C2サーバは実行可能なペイロードを侵害されたホストにプッシュでき、単一の感染の影響範囲を劇的に拡大できます。
Kamasersは、GCleanerとAmadeyという2つの確立されたマルウェア配信プラットフォームを通じて拡散することが確認されています。これらはどちらも、多段階攻撃チェーンにおける初期アクセスローダーとして一般的に使用されています。
この配信パターンは、Kamasersを広範なマルウェア・アズ・ア・サービスエコシステムの中に位置づけています。このエコシステムでは、脅威アクターは事前構築された感染パイプラインに料金を支払い、自分たちのツールを大規模にデプロイします。確立された配信インフラストラクチャの使用は、Kamasersのオペレーターが組織的なサイバー犯罪サプライチェーンにアクセスできる経験豊富なアクターであることを示しています。
Kamasersの最も技術的に洗練された機能の1つは、Dead Drop Resolver(DDR)メカニズムです。これは、GitHub Gist、Telegram、Dropbox、Bitbucketなどの正規の公開プラットフォームを仲介リレーとして使用して、実際のC2サーバアドレスを感染したボットに配信します。
これらのサービスへのリンクはバイナリ内のプレーンテキストに保存されていません。代わりに、実行時に動的に構築および展開され、静的分析ツールから見えなくなっています。
観測されたいくつかのケースでは、感染したホストがapi.etherscan.io(EthereumブロックチェーンエクスプローラーAPI)をクエリして、ブロックチェーンデータに埋め込まれたC2アドレスを取得しているのも確認されました。これは、コマンド・アンド・コントロール回避のための公開Web3インフラストラクチャの新しい悪用です。
Kamasersセッションの行動分析により、Railnet LLCのASNに関連するIPアドレスへの接続が一貫して明らかになりました。Railnet LLCは、KYC(本人確認)手続きなしで防弾ホスティングサービスを提供するVirtualineのフロントとして公開されているホスティングプロバイダーです。
Railnetインフラストラクチャは、スイス、ドイツ、ウクライナ、ポーランド、フランスの政府および民間部門の組織を対象とするキャンペーンに関連付けられており、脅威グループTA577に関連するLatrodectusを含む他のマルウェアファミリーの配布に以前使用されています。
そのASNは、さまざまなマルウェアキャンペーン全体で繰り返し現れ、複数のファミリーで活動する脅威アクターにとって確立されたインフラストラクチャハブとなっています。
Kamasersの対象プロファイルは国際的な範囲です。投稿データは、ドイツと米国での最高の可視性を示しており、ポーランドとLATAM地域の対象での追加ケースが記録されています。
最も頻繁に影響を受けるセクターには、教育、通信、および技術組織が含まれます。
この機能は、Kamasers感染ホストがランサムウェア、情報窃取ツール、またはリモートアクセストロージャンのステージングポイントになる可能性があることを意味しており、完全な攻撃チェーンが初期侵害から数時間以内に展開される可能性があります。
Kamasersは、現代のボットネットはもはや単一目的のツールではないことを示しています。C2サーバからの単一のコマンドでネットワーク妨害から完全なビジネス侵害にピボットできるモジュール式で回復力のあるプラットフォームです。
翻訳元: https://cyberpress.org/kamasers-ddos-botnet-loader-threat/
