CrowdStrike Blog:WIZARD SPIDER と LUNAR SPIDER が連携継続中
2019年3月17日、CrowdStrike Intelligenceは、新しいBokBot(LUNAR SPIDERが開発・使用)プロキシモジュールTrickBot(WIZARD SPIDERが開発・使用)が連動して使用されていることを確認しました。
国際
海外情報
WIZARD SPIDER のバンキングマルウェア TrickBot は、shadDll と呼ばれる新しいプロキシモジュールを、sin および tin の接頭辞が付いたグループタグ( gtag )にばらまいています。これらの gtag は、以前のブログでご紹介した通り、LUNAR SPIDER の BokBot(別名 IcedID )マルウェアと関連があることが知られています。
このモジュールには、BokBot プロキシモジュールと同一の機能が含まれています。新しいプロキシモジュールでは、TrickBot マルウェアの拡張可能なモジュール型フレームワーク内に、BokBot の強力な機能が多数組み込まれています。バイナリコードを解析した結果、shadDll という名前の TrickBot モジュールは、99 % の信頼度でBokBot プロキシモジュールと 81 % 構造が類似していることが明らかになっています。
中間者(Man-in-the-Middle)攻撃
この新しい TrickBot モジュール shadDll の主な役割は、ネットワーク機能をフックし、不正な SSL 証明書をインストールすることで、感染したホストの Web ブラウザに対し中間者( MITM )攻撃を実行することです。SSL 通信の傍受が可能になると、マルウェアは BokBot のさまざまな構成エントリを利用して Web トラフィックを戦略的にリダイレクトし、コードを挿入し、スクリーンショットを取得するほか、標的となったユーザーの Web 閲覧を操作します。
shadDll モジュールは、TrickBot モジュールの典型的な特徴を有しています。具体的に言うと、このモジュールは動的リンクライブラリ( DLL )であり、TrickBot によって暗号化された文字列は含まれておらず、TrickBot がエクスポートに使用する標準的な関数 Start、Control、Release が含まれています。shadDll モジュールには、TrickBot によって暗号化された文字列は含まれていませんが、BokBot プロキシモジュールで使用されている、カスタムの XOR 暗号化により難読化された文字列が含まれています。
ハードコードされたDN値
注目すべきは、次のハードコードされた識別名( DN )値が、BokBot プロキシモジュールが MITM 攻撃の実行で使用する不正な証明書内で検出されたものとまったく同じであることです。
C=US; O=VeriSign, Inc.; OU=VeriSign Trust Network; OU=(c) 2006 VeriSign, Inc. - For authorized use only; CN=VeriSign Class 3 Public Primary Certification Authority - G5
2 つのサイバー犯罪( eCrime )集団のつながりがさらに強固なものに
今回、WIZARD SPIDER と LUNAR SPIDER の関係に進展が見られたことは、Dyre(別名 Dyreza )と Neverquest の時代から続くこれら 2 つのサイバー犯罪集団のつながりが、さらに強固なものになっていることを示しています。CrowdStrike Intelligence は引き続き、この興味深い連携と相互の統合を監視していきます。TrickBot が現在ばらまいている BokBot プロキシモジュールの詳しい分析は、こちらの補足ブログ記事で紹介しています。
その他のリソース
・「2019 Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください
・すぐに利用できる脅威インテリジェンスがSOCの進化の次のステップである理由について説明した、Falcon Xの自動化された脅威インテリジェンスに関するレポートをお読みください
・CrowdStrike Falconプラットフォームによる包括的なエンドポイント保護については、製品ページをご覧ください
・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアルをお試しください
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/wizard-spider-lunar-spider-shared-proxy-module/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
-
Non State Actor 図鑑(4)世界 2 位は GDP だけではない ~ QAnon 帝国ドイツ
新しい暴力の形としてノン・ステート・ウォーが増えている。ハッキングやデジタル影響工作など新しい攻撃方法が幅広く用いられており、全領域での戦いとなっている。そして、戦闘の担い手の多くは民間企業である。日本も例外ではない。日本は軍事に関しては敏感だがそれ以外は寛容だ。
-
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
日本で監視カメラや CCTV と言えば、要監視施設等に設置してそれを録画して、何かあったら再生するという、インターネットもパソコン通信もなかった時代のスタンドアロン PC のような貧しい使い方しか想像力が及ばない。しかし中国や合衆国のような、治安維持のための人権制限を合法とする国では、街頭や交通機関、店舗、オフィスなど都市の至る所に設置した画像を XDR や SOC のように集積し、かなりドラスティックな解析を行う。