📰

【セキュリティニュースメモ】2024/06/24-06/30

2024/06/30に公開

オープンソースのRafel RATを利用した攻撃

https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/

概要

複数のAPTが、Rafel RATと呼ばれるオープンソースのAndroid遠隔管理ツールを使用し、Instagram、WhatsApp、様々なアプリに見せかけ、攻撃を行っている。

Rafel RAT

https://github.com/swagkarna/Rafel-Rat

  • Androidデバイス上で密かに動作するオープンソースのマルウェアツール
  • SDカードのワイプ、通話ログの削除、通知の吸い上げ、ランサムウェアとしての機能など、幅広い機能を誇っている
  • 主にC2(コマンド&コントロール)通信にHTTP(S)を利用する
    • Discord APIを利用することもできる
    • PHPベースのC2パネルも付属している(感染したデバイスにコマンドを送信できる)

Rafel RAT関連のキャンペーン

  • 約120種類観測されている
  • 標的: 主に、米国、中国、インドネシアなど

キャンペーン手法

  • ソーシャル・エンジニアリングを利用
  • マルウェアが仕込まれたアプリに侵入許可を与えるように導く
  • 連絡先情報、SMSメッセージ(2要素認証コードなど)、位置情報、通話ログ、インストールされているアプリケーションのリストなどの機密データを盗み出す
    • 連絡先情報が流出する: 他の連絡先へと横の動きを許す可能性
    • 2要素認証コード: 複数のアカウントが乗っ取られる可能性

被害を受けるAndroid端末の特徴

Android端末

  • 大半はサムスン
    • Xiaomi、Vivo、Huaweiのユーザが2番目に多い(市場における端末の人気に比例している)

Androidのバージョン

  • Android 11が最も多い
    • 次いでバージョン8と5
  • Rafel RATはすべてのバージョンで動作することができる
  • 端末を保護するためのセキュリティ対策の必要性を浮き彫りにしている

GrimResource: MS Management Consoleを悪用した攻撃

https://www.elastic.co/security-labs/grimresource

概要

  • 北朝鮮関連のAPTが、MSCファイルで新しいコマンド実行テクニック(GrimResource)を行っている
  • 攻撃者はMS Management Console(mmc.exe)で、任意のコードを実行することができる
  • GrimResource: MSCファイルを利用した新たな感染手法
    • ユーザが細工されたMSCファイルをクリックした後に、攻撃者がmmc.exeのコンテキスト内でコード実行を行うことを可能にする

GrimResource

  • apds.dllライブラリに存在する古いXSS欠陥を利用する
  • MSCファイルのStringTableセクションに、脆弱なAPDSリソースへの参照を追加する
    • 攻撃者がmmc.exeのコンテキスト内で任意のjavascriptを実行することができる
    • DotNetToJScriptと組み合わせることで、任意のコードを実行させることができる

関連用語

MMC

  • Microsoft Management Console
  • Microsoft管理コンソール
  • システムの設定と監視を行うためのツール
  • Windows2000とそれ以降のWindows NT系のOSに搭載されている

MSC

  • Windowsの管理用ツールのファイル
  • 拡張子: .msc

DotNetToJScript

https://github.com/tyranid/DotNetToJScript/tree/master

  • メモリから.NET v2アセンブリをロードするJScriptファイルを作成するツール

Medusa: Androidを標的にしたバンキング型トロイの木馬

https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered

概要

  • トルコの金融機関を標的に2020年7月に初めて発見された高度なAndroidマルウェアの進化版が発見された
  • SMSメッセージの読み取り、キー入力のログ、スクリーンショットのキャプチャ、通話の録音、デバイス画面のリアルタイム共有、オーバーレイ攻撃による不正送金の実行などの機能を備えている
  • 銀行の認証情報を盗み出す

Medusa(TangleBot)

  • 2020年に発見されたRAT機能を持つ洗練されたマルウェアファミリー
  • 新機能: 軽量な権限セット、フルスクリーンオーバーレイの表示、リモートでのアプリケーションのアンインストール
  • キーロガー、画面制御、SMSの読み書きが含まれる
    • 攻撃者は、オンデバイス詐欺(ODF)が可能になる
  • カナダ、フランス、イタリア、スペイン、トルコ、英国、米国のユーザーを標的として使用されている
  • 様々な関連会社によって運営されている5つの異なるボットネットに通じている

特徴

  • Medusaを広めるために偽のアップデートを装ってドロッパーアプリを使用する
  • デッドドロップ・リゾルバとして、TelegramやXのような正規のサービスが使用される
  • 検出回避のために、求めるパーミッションの数を以前より減らしている
    • Androidのアクセシビリティ・サービスAPIを必要とする際は、必要に応じて他のパーミッションをこっそり有効にしている
  • 感染端末に黒い画面をオーバーレイ表示させる
    • 端末がロックされているか電源が切れているかのように見せかける
    • それを隠れ蓑にして悪質な行為を行う
  • 必要なパーミッションの最小化、検知回避、長期間検知されずに動作するように作成されている

関連用語

ODF(On-Device Fraud)

https://www.zimperium.com/glossary/on-device-fraud/

  • オンデバイス詐欺
  • ユーザのモバイルデバイスにインストールされたアプリケーションを標的とした詐欺行為
  • モバイルアプリケーションやデバイスを操作/悪用して、機密情報の窃取、不正取引の実行、正規ユーザーのなりすましなどの不正行為を行う

Android向け架空のChromeアップデート

https://www.broadcom.com/support/security-center/protection-bulletin/cerberus-as-fake-chrome-update-in-the-mobile-threatscape

概要

  • Android向けの架空のChromeアップデートが、Cerberus(バンキング型トロイの木馬)を落とす誘い文句として使われている
  • ニセのウェブサイト(telegroms[.]icu)を介して偽のTelegramアプリを配布する
  • SpyMaxという別のAndroidマルウェアを配布していることも確認されている

SpyMax

  • ユーザの同意なしに感染したデバイスから個人/プライベート情報を収集
  • 同じ情報をリモートの攻撃者に送信する機能を備えている
    • 被害者のデバイスを制御することが可能になる
    • プライバシー、データの機密性/完全性に影響を与える

キャンペーン手法

  • ユーザにアクセシビリティ・サービスを有効にするよう促す
  • キー入力や正確な位置情報、デバイスの移動速度まで収集できるようにする
  • 収集された情報は圧縮され、暗号化されたC2サーバーにエクスポートされる

Poseidon: Macユーザを標的にしたGoogle広告

https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads

概要

  • 正規のArcブラウザの広告を装い、MacOSスティラーを配布するキャンペーンが確認された
  • 今回のキャンペーンで投下されているスティーラーは、Atomic Stealerの競合として開発されている
    • Malwarebytesでは、以前はOSX.RodStealerとして追跡していたが、Poseidonに改名した
    • VPN設定の略奪など、新機能が加わっている

キャンペーン詳細

Poseidon

  • Rodrigo4というハンドルネームで知られる脅威アクターが、Atomic Stealer(AMOS)と同様の機能とコードベースで配布しているスティーラー
  • サービスは、統計情報を備えたマルウェア・パネルと、カスタム名、アイコン、AppleScriptを備えたビルダーで構成されている
  • スティーラーは、ファイル搾取、暗号資産の抽出、パスワードマネージャー(Bitwarden、KeePassXC)のデータ収集、ブラウザのデータ収集などを行う

配布方法

  1. 正規のArcブラウザのGoogle広告を装う
  2. 広告をクリックした人は、Arcブラウザのダウンロードの偽サイトに飛ばされる
    提供されているのはMac版Arcのダウンロードのみ
  3. ユーザがArcを装った偽ブラウザと気づかずダウンロードした場合、MacスティーラーがユーザのPCにダウンロードされることとなる

特徴

  • FortinetとOpenVPNからVPN設定を盗む

関連用語

Atomic Stealer(AMOS)

https://www.malwarebytes.com/blog/threat-intelligence/2023/11/atomic-stealer-distributed-to-mac-users-via-fake-browser-updates

  • MacOSを標的にしたスティーラー
  • ClearFakeから分岐した
    • ClearFake: ドライブバイダウンロードの手法でマルウェアを拡散する、JavaScriptフレームワーク
  • ペイロードを微調整することで様々なターゲットに適応させることが容易になっている

Discussion