Hacker smiley face

ある脅威者が、「スクリプト・キディ」として知られる低スキルのハッカーを標的に、データを盗みコンピュータを乗っ取るためのバックドアを密かに感染させる偽のマルウェア・ビルダーを仕掛けた。

CloudSEKのセキュリティ研究者によると、このマルウェアは全世界で18,459台のデバイスに感染し、そのほとんどがロシア、米国、インド、ウクライナ、トルコに存在した。

「XWormのRATビルダーのトロイの木馬化されたバージョンが武器化され、伝播している。

「これは、サイバーセキュリティの初心者で、様々なチュートリアルに記載されているツールを直接ダウンロードして使用するスクリプト・キディーを特別にターゲットにしており、泥棒の間に名誉はないことを示している。

CloudSEKは、マルウェアには、感染したマシンの多くからマルウェアをアンインストールするために有効化されたキルスイッチが含まれていることを発見したが、実用的な制限のため、一部は侵害されたままである。

Location of infected devices
感染したデバイスの場所
出典:CloudSEKCloudSEK

偽のRATビルダーがマルウェアをインストール

研究者によると、トロイの木馬化されたXWorm RATビルダーが、GitHubリポジトリ、ファイルホスティングプラットフォーム、Telegramチャンネル、YouTube動画、ウェブサイトなど、さまざまなチャネルを通じて配布されているのを最近発見したという。

これらの情報源はRATビルダーを宣伝し、他の脅威行為者がお金を払うことなくマルウェアを利用できるようにすると述べている。

しかし、XWorm RATの実際のビルダーではなく、脅威行為者のデバイスをマルウェアに感染させるものだった。

マシンが感染すると、XWormマルウェアはWindowsレジストリをチェックし、仮想化環境上で実行されている兆候を確認し、その結果が陽性であれば停止する。

ホストが感染の対象となった場合、マルウェアは必要なレジストリの変更を実行し、システムのブート間での永続性を確保します。

感染したシステムはすべて、ハードコードされたTelegramボットIDとトークンを使用して、Telegramベースのコマンド&コントロール(C2)サーバーに登録されます。

マルウェアはまた、Discordトークン、システム情報、位置情報(IPアドレスから)を自動的に盗み出し、C2サーバーに流出させます。そして、オペレーターからのコマンドを待つ。

全部で56のコマンドがサポートされているが、特に危険なのは以下のコマンドだ:

  • /machine_id*browsers– ウェブ・ブラウザから保存されたパスワード、クッキー、自動入力データを盗む。
  • /machine_id*keylogger:被害者がコンピュータで入力した内容をすべて記録する。
  • /machine_id*desktop– 被害者のアクティブな画面をキャプチャする
  • /machine_id*encrypt*<password>– 指定されたパスワードを使用して、システム上のすべてのファイルを暗号化します。
  • /machine_id*processkill*<process>– セキュリティソフトを含む、特定の実行中のプロセスを終了させます。
  • /machine_id*upload*<file>:感染したシステムから特定のファイルをエクスポートする
  • /machine_id*uninstall– デバイスからマルウェアを削除する。

CloudSEKは、マルウェアのオペレーターが感染したデバイスのおよそ11%からデータを流出していることを発見しました。そのほとんどは、以下のように感染したデバイスのスクリーンショットを撮ったり、ブラウザのデータを盗んだりしていました。

Screenshot from a hacker's desktop
ハッカーのデスクトップのスクリーンショット
ソースはこちら:CloudSEK

キルスイッチによる妨害

CloudSEKの研究者は、感染したデバイスからマルウェアをアンインストールするために、ハードコードされたAPIトークンと組み込みのキルスイッチを利用してボットネットを破壊した。

これを実行するために、彼らはすべてのリスニングクライアントに大量のアンインストールコマンドを送信し、以前に Telegram ログから抽出したすべての既知のマシン ID をループしました。また、単純な数字パターンを想定して、1から9999までのマシンIDをブルートフォースした。

Sending out the uninstall command
アンインストールコマンドの送信
Source:CloudSEK

これにより、感染したマシンの多くからマルウェアが削除されたものの、コマンドが発行されたときにオンラインでなかったマシンは依然として危険にさらされている。

また、Telegramではメッセージのレートが制限されるため、アンインストールコマンドの一部が転送中に失われた可能性もある。

ハッカーがハッカーをハッキングするというのは、私たちがよく目にするシナリオです。

CloudSEKの発見から得られる教訓は、署名されていないソフトウェア、特に他のサイバー犯罪者によって配布されたものを決して信用しないこと、そしてテスト/分析環境でのみマルウェアビルダーをインストールすることです。