Logo
x logo
2024-12-10

Malware-as-a-Service(MaaS)で新しい攻撃ツール公開され、被害拡大中

要約

More_eggs MaaSオペレーターのVenom Spiderが、新しい情報窃盗型マルウェアのRevC2とVenom Loaderマルウェアローダーを使った攻撃キャンペーンを行っていることが明らかになりました。これらの攻撃では、VenomLNKツールを使ってターゲットにアクセスし、Chromiumブラウザのクッキーやクレデンシャルの窃取、シェルコマンドの実行、スクリーンショットの取得、トラフィックのプロキシなどを行っています。また、Venom Loaderを使って、More_eggs liteバックドアを配布することで、リモートコード実行を可能にしています。

このニュースのスケール度合い
6.0
/10
インパクト
7.0
/10
予想外またはユニーク度
8.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
7.0
/10

詳細分析

主なポイント

  • More_eggs MaaSオペレーターのVenom Spiderが新しい攻撃手法を使っている
  • RevC2情報窃盗型マルウェアとVenom Loaderマルウェアローダーを使った攻撃キャンペーンを実施
  • VenomLNKツールを使ってターゲットにアクセスし、Chromiumブラウザの情報を窃取する

社会的影響

  • 企業や個人のデータが窃取される可能性がある
  • 感染端末を踏み台にさらなる攻撃が行われる恐れがある
  • 感染被害が広範囲に及ぶ可能性がある

編集長の意見

この攻撃手法は非常に高度で、ターゲットの情報を広範囲に窃取できるため、企業や個人にとって深刻な脅威となります。セキュリティ対策を強化し、最新の脅威情報を収集することが重要です。また、ユーザー教育を徹底し、不審なリンクやファイルを開かないよう注意喚起することも必要でしょう。どういった対策をとったらいいか?のためにもまずこのツールについて詳細をご紹介しておきます。「解説」をご一度ください。

解説

新しい情報窃盗型マルウェアのRevC2とVenom Loaderマルウェアローダーを使った攻撃キャンペーンとは?

RevC2とVenom Loaderを使用した新しい情報窃盗型マルウェアの攻撃キャンペーンは、 2024年8月から10月にかけて観測された重要なサイバーセキュリティの脅威です。

これらのマルウェアは、Venom Spiderと呼ばれる脅威アクターによって開発され、Malware-as-a-Service(MaaS)モデルで提供されています。

攻撃キャンペーンの概要

この攻撃キャンペーンは、主にフィッシングメールや悪意のあるリンクを通じて拡散されます。 攻撃者は、APIドキュメントや暗号資産関連の情報といった、ユーザーが興味を持ちそうな内容を装って、マルウェアのインストールを誘導しているようです。

RevC2

RevC2は、高度なバックドア型マルウェアです。 情報窃取を目的とした高度なマルウェアであり、特に個人情報や認証情報をターゲットにしているようです。 感染した端末からさまざまなデータを窃取するために設計されていて、ユーザーのログイン情報、パスワード、クレジットカード情報、ブラウザの保存データなどが含まれます。 これらの情報は、攻撃者によって悪用されるか、ダークウェブで販売されることがあります。

  • Chromiumブラウザからのパスワードやクッキーの窃取
  • シェルコマンドの実行
  • スクリーンショットの取得
  • WebSocketを利用したC2(Command and Control)サーバーとの通信
  • RevC2は、検出を回避するために特定の条件下でのみ実行されるよう設計されています。 これらの特徴があり、検出回避のために、特定の条件下(おそらく検出可能なEDRがインストールされている場合は実行されない)では実行しないという 簡単な検出回避でした。 しかし、持続性を維持するため、感染後も自身を再インストールする機能や他のマルウェアをダウンロードする機能を持つことがあります。 これにより、一度感染すると長期間にわたって情報が窃取され続ける可能性があるとのことです。

Venom Loaderの役割

Venom Loaderは、カスタムマルウェアローダーとして機能します。

  • 被害者のコンピュータ名を利用したペイロードのエンコード
  • 次段階のマルウェア(例:Retdoor)のロード
  • 個々のターゲットに合わせたカスタマイズ という特徴があり、特に最後の「個々のターゲットに合わせたカスタマイズ」といったあたり、AIっぽい匂いがしますね。

Venom Loaderは、特定の攻撃キャンペーンにおいて重要な役割を果たしていました。 具体的には、暗号資産関連のフィッシング攻撃を通じて配信されることが多く、最初の段階ではVenomLNKというファイルが使用されていたそうです。 このファイルは、被害者が興味を持つような内容(例えば暗号通貨の取引情報)を装ったもので、実際には悪意のあるスクリプトを実行します。

次に、Venom Loaderは、次のステージとして「Retdoor」というバックドア型マルウェアを読み込む機能があります。 Retdoorはリモートコード実行(RCE)機能を提供し、攻撃者が被害者のシステムに対して様々な操作を行うことを可能にします。 具体的には、Venom Loaderはまず「base.zip」というファイルをダウンロードし、その中に含まれる「ApplicationFrameHost.exe」を実行します。 このプロセスでは、悪意のあるDLL(dxgi.dll)がサイドローディングされ、その後Retdoorが起動されていたとのことです。

さらに、Venom Loaderは各被害者ごとにカスタマイズされたペイロードを生成するため、攻撃者は特定のターゲットに対してより効果的な攻撃を行うことができたということで、 このカスタマイズ機能は、従来型の大量配布型マルウェアとは異なり、より巧妙でターゲット指向の手法で、AI駆動型によくある特徴です。

やはりこちらも継続性を持っており、Venom Loaderは継続的にC2(Command & Control)サーバーと通信し、指示を受け取るようにできていて、 通信はWebSocketプロトコルを使用して行われるため、高度なデータ交換が可能です。 これにより、攻撃者はリアルタイムで被害者のシステムに対してコマンドを実行したり、新たなマルウェアを配信したりすることができるという恐ろしいローダーです。

このように、Venom Loaderは他のマルウェアとの連携やカスタマイズ機能によって、高度なサイバー攻撃を実現するための重要なツールとなっています。 特にMaaS(Malware-as-a-Service)モデルの一環として、その利用が広がっていることからも、その脅威は今後も増大する可能性があります。 MaaSを利用して、個人が低コストで攻撃を仕掛けられる時代ですので、今まで予測されていたような高度なグループからの攻撃だけに目を向けているだけでは 対処が遅れる可能性があります。

しかし、今回の初手の手法は、あくまでも昔ながらのフィッシングがメインとのことで、そこを注意することを従業員に告知するようにしてください。 特に、APIドキュメント暗号資産関連の情報は多くの人々の関心を引くため、効果的なフィッシング手法として利用されています。 くれぐれも注意してください。 APIドキュメントにも仕掛けられている時代なのです。

背景情報

  • Venom Spiderは以前からMore_eggsマルウェアを使っていた
  • 今回の攻撃では新しい手法を使って攻撃範囲を広げている
  • VenomLNKツールを使って初期アクセスを確立している
世界のセキュリティ最前線
Packet News 一覧へ