📰

【セキュリティニュースメモ】2024/06/17-06/23

2024/06/24に公開

2024/06/17-06/23

テキストベースの検知を回避するマルウェア

絵文字を使用することにより文字列ベースの検知を回避できる可能性があるマルウェア
https://www.bleepingcomputer.com/news/security/new-linux-malware-is-controlled-through-emojis-sent-from-discord/

概要

  • 新に発見されたLinuxマルウェアDISGOMOJI
  • インド政府を標的にした攻撃で使用される
  • 感染したデバイス上でコマンドを実行するために絵文字を活用する
  • volexityによって発見された
  • パキスタンを拠点にしている'UTA0137'に関係しているとされている
  • C2プラットフォームとしてDiscordと絵文字を使用することで、文字列ベースのコマンドを探すマルウェア対策ソフトを回避できる可能性がある

DISGOMOJI

  • さまざまな攻撃で使用されるバックドア/ボットネットと類似している
  • コマンド実行、スクリーンショットの撮影、ファイルの窃盗、追加のペイロードの展開などを可能にする
  • フィッシングメールで配布されている
  • インド政府が使用しているBoss Linuxを標的にして作成されたと考えられている

攻撃手法

  1. インドの国王将校積立基金からの受給者表であるPDFを添付したメールを送信
  2. メールの受信者がPDFファイルを展開する
  3. uevent_seqnum.shという名前のシェルスクリプトなどが追加でインストールされる
    uevent_seqnum.sh: DISGOMOJIやUSBドライブを検索してデータを盗むために使用
  4. DISGOMOJIが起動
    マシンからIPアドレス、ユーザー名、ホスト名、オペレーティングシステム、現在の作業ディレクトリなどのシステム情報を流出させ、攻撃者に送る
  5. マルウェアを制御するために、攻撃者はdiscord-c2を利用
    Discordと絵文字を使って感染デバイスと通信し、コマンドを実行する
    感染デバイスは、Discordサーバー上のコマンドチャンネルで新しいメッセージを受け取る
    C2通信は絵文字ベースのプロトコルを使用して行われる
  6. XDGの自動起動エントリで攻撃者は横展開を行い、永続化を試みる

関連用語

UTS0137

  • パキスタンを拠点にしているAPTグループ
  • 主にインド政府を標的とする攻撃を行っている

discord-c2

  • オープンソースのコマンド・アンド・コントロール・プロジェクト

https://github.com/bmdyy/discord-c2

正規のウェブサイトで配信されるBadSpaceバックドア

https://www.gdatasoftware.com/blog/2024/06/37947-badspace-backdoor

概要

  • 正規のウェブサイトでブラウザのアップデートを求められる
  • アップデートを行うとBadSpaceバックドアに感染する
    • 感染したウェブサイト、C2サーバ、標的のシステムにバックドアを展開する
  • JScriptダウンローダー使用し多段階の攻撃を行う
  • WordPressのウェブサイトに感染する
    • jQueryのようなJavaScriptライブラリやインデックスページ自体にコードを注入する傾向がある
  • .pdf.jsのような偽の拡張子を使用し偽装を行っている
  • 偽のアップデート攻撃やjsファイルを使用する傾向のあるSocGholishに関連するとされている
  • WordPressプラグインになりすますSocGholish感染が観測されている

https://blog.sucuri.net/2024/03/new-wave-of-socgholish-infections-impersonates-wordpress-plugins.html

BadSpace

  • サンドボックスに対応している
  • 特徴
    • スケジュールされたタスクを使用し永続性を設定する
    • システム情報を採取
    • スクリーンショットの撮影
    • cmd.exeを使用した命令の実行
    • ファイルの読み取り/書き込み
    • スケジュールされたタスクの削除を可能にするコマンド処理

攻撃手法

  1. 感染したウェブサイトのコードに、ユーザが以前そのページを訪れたことがあるかどうかを確認するためにクッキーを設定する
  2. ユーザが初めて訪れた場合は、ユーザのデバイスタイプ、IPアドレス、リファラー、ユーザエージェント、ドメイン、場所に関する情報を含むクエリパラメータでURLを構築する
  3. 構築したURLにGETリクエストを送信する
  4. ユーザによって最初に呼び出されたウェブページを上書きする

関連用語

SocGholish

  • マルウェアの亜種
  • 2018年に野生の状態で観測された
  • 主にドライブバイダウンロードによる初期感染で知られている
  • 悪意のあるJavaScriptが使用され、正当なWebサイトに注入される
  • ユーザが、ウェブサイトへのリンクを含む電子メールを受信しクリックすると、ブラウザがページを読み込む際に注入されたJavaScriptが実行される

Discussion