Russia

ロシアで2024年7月上旬から、アカウント認証情報などを窃取する新しい自己拡散型ワーム「CMoon」が、侵害されたガス供給会社のウェブサイトを通じて配布されている。

このキャンペーンを発見したカスペルスキーの研究者によると、CMoonは追加ペイロードのロード、スクリーンショットのスナップ、分散型サービス拒否(DDoS)攻撃の開始など、幅広い機能を実行できるという。

脅威行為者が使用した配布チャネルから判断すると、彼らの標的範囲は無作為のインターネットユーザーではなく、価値の高いターゲットに集中しており、これは洗練された操作を示しています。

感染経路

カスペルスキーによると、ロシアのある都市にガス化およびガス供給サービスを提供する企業のウェブサイトのさまざまなページにある規制文書(docx、.xlsx、.rtf、.pdf)へのリンクをユーザーがクリックすることから感染チェーンが始まる。

このリンクはサイト上でホストされ、元の文書と元のリンクにちなんで命名されたCMoonペイロードを含む自己解凍型アーカイブとして被害者に配信されました。

「このマルウェアの他の配布経路は確認されていないため、この攻撃は特定のサイトの訪問者のみを狙ったものであると考えられます」とカスペルスキーは報告しています。

ガス会社がこの侵害を通知された後、悪意のあるファイルとリンクは2024年7月25日に同社のウェブサイトから削除された。

しかし、CMoonの自己増殖メカニズムにより、その配布は自律的に継続される可能性があります。

CMoonは.NETワームであり、侵害されたデバイス上で検出されたウイルス対策ソフトウェアにちなんで名付けられたフォルダ、またはウイルス対策ソフトウェアが検出されなかった場合はシステムフォルダに類似したフォルダを新たに作成し、そこに自身をコピーします。

このワームは、Windowsのスタートアップ・ディレクトリにショートカットを作成し、システム起動時に実行されるようにすることで、リブート間の持続性を確保しています。

手動によるユーザーチェックの際に疑惑を持たれないよう、ファイルの作成日と変更日を2013年5月22日に変更します。

このワームは、新しく接続されたUSBドライブを監視し、感染したマシンにUSBドライブが接続されると、「LNK」と「EXE」を除くすべてのファイルを実行ファイルへのショートカットに置き換えます。

CMoonはまた、USBドライブに保存されている興味深いファイルを探し、攻撃者のサーバーに流出させる前に、隠しディレクトリ(’.intelligence’と’.usb’)に一時的に保存します。

CMoonは標準的な情報盗み出し機能を備えており、暗号通貨ウォレット、ウェブブラウザ、メッセンジャーアプリ、FTP、SSHクライアントに保存されたデータ、「secret」、「service」、「password」といった文字列を含むUSBやユーザーフォルダ内の文書ファイルなどをターゲットとしている。

.pfx、.p12、.kdb、.kdbx、.lastpass、.psafe3、.pem、.key、.private、.asc、.gpg、.ovpn、.logファイルなど、アカウント認証情報を含む可能性のあるファイルを標的にしているのも、興味深く、やや珍しい特徴です。

Targeted data
対象となるディレクトリとデータ
Source:カスペルスキー

このマルウェアは、追加のペイロードをダウンロードして実行したり、侵入したデバイスのスクリーンショットをキャプチャしたり、指定したターゲットに対してDDoS攻撃を開始したりすることもできます。

窃取されたファイルやシステム情報はパッケージ化され、外部サーバーに送信され、そこで復号化(RC4)され、MD5ハッシュを使用して完全性が検証されます。

Generating the data package for exfiltration
流出用データパッケージの生成
Source:カスペルスキー

カスペルスキーは、CMoon を配布するサイトが現在確認されている以外にも存在する可能性を残しているため、警戒が必要である。

このキャンペーンがどれほど標的を絞ったものであったとしても、ワームが自律的に拡散するということは、意図しないシステムに到達し、日和見的な攻撃の条件を作り出す可能性があるということだ。