最近発見されたサイバー攻撃サービスで、マルウェアギャングがハッキングされたWebサイトを使用し、無防備なユーザーに悪意のあるペイロードを配布することができるサービスがあります。
「Prometheus」と名付けられたこのサイバー犯罪サービスは、セキュリティ研究者が「トラフィック・ディストリビューション・システム」(TDS)と呼ぶものです。
Prometheus TDSの仕組み
Prometheusは、マルウェアグループがPrometheusに対するアクセス権をレンタルし、TDSプラットフォームへのアクセス権を取得するというものです。
購入者は、そのアカウントにアクセスして、配布したいマルウェアのペイロード、ターゲットとするユーザーのタイプ(地理的な位置、ブラウザやOSのバージョンなどの詳細)を設定し、ハッキングされたウェブサーバーのリストを入手することができます。
Prometheus TDSは、ハッキングされたWebサイトのリストを検索した後、バックドアを設置されたサーバーをピックアップします。
悪意のあるキャンペーンの被害者が管理パネルと直接やりとりすると、攻撃者のサーバーが公開されてブロックされる可能性があるため、Prometheus TDSでは、攻撃者の管理パネルとユーザーの間を仲介するサードパーティの感染したWebサイトを使用しています。
また、感染したWebサイトのリストは、マルウェアキャンペーンの運営者が手動で追加しています。リストのアップロードは、ウェブシェルへのリンクをインポートすることで行われ、Prometheus.Backdoorと名付けられた特別なPHPファイルが危険なWebサイトにアップロードされ、管理パネルと対話するユーザーに関するデータを収集して送り返します。
管理パネルは、収集したデータを分析した後、ペイロードをユーザーに送信するか、または指定されたURLにリダイレクトするかを決定します。
Prometheusの購入者は、ハッキングされたWebサイトへのリンクを含むEメール・スパム攻撃を送信することができます。
ユーザーがリンクをクリックしてハッキングされたサイトにアクセスすると、Prometheusのバックドアが被害者のブラウザの詳細を分析し、攻撃のパラメータに基づいて、ユーザーを無害なWebページにリダイレクトするか、悪意のあるファイルをホストするWebページにリダイレクトするかを決定します。
セキュリティ企業のGroup-IB社によって発見されたPrometheusは、現在アンダーグラウンドサイバー犯罪フォーラムで広告が出稿されており、その価格は2日間のアクセス権利で3000円=30ドル、1ヶ月で25000円=250ドルとなっています。
Group-IBの研究者によると、ハッキングされたウェブサーバーを通じて配布されたマルウェアが、Campo Loader、IcedID、QBot、SocGholish、Buer Loaderなど最も危険なマルウェアを含む、Prometheus TDSのマークとURLスキームが記載されている攻撃をいくつか発見したとのことです。
Group-IBの最近の調査結果は、現在のサイバー犯罪のエコシステムが、マルウェアを作成する人間だけで構成されているわけではないことを改めて示しています。
現在のほとんどのマルウェア攻撃では、常に少なくとも2つまたは3つの異なるグループが協力して様々なサービスや機能を提供しており、その中にはマルウェアの暗号化、アンチウイルスチェッカー、Officeファイルの武器化(エクスプロイト構築)、スパム送信サービス、トラフィック配信システムなどが含まれます。
Comments