世界的なサイバーセキュリティ企業Truesecの最新レポートによると、Microsoft Teamsを悪用して企業ユーザーに感染させる新たな攻撃キャンペーンが明らかになりました。攻撃者の動機は不明ですが、このDarkGateローダーマルウェアは、金銭的利益の獲得やサイバースパイ活動に利用される可能性があります。
ジャンプ先:
- DarkGate マルウェアとは何ですか?
- 新たな攻撃がMicrosoft Teams経由でDarkGateローダーを拡散する方法
- ダークゲートのビジネスモデル
- DarkGateマルウェアの脅威から身を守る方法
DarkGate マルウェアとは何ですか?
DarkGateはDelphiで書かれたローダー型マルウェアです。感染したコンピュータ上で実行されると、他のマルウェアのダウンロードと実行を可能にすることを目的としています。追加のマルウェアは32ビットおよび64ビットアーキテクチャのメモリに直接ダウンロードされるため、ファイルシステム上に常駐しないため、検出が困難になります。
マルウェアに実装されている他のメカニズムにより、分析がさらに困難になります。
- Anti-VM:マルウェアは、仮想マシンで使用される既知のハードウェア/識別子をテストします。
- サンドボックス対策:マルウェアは、サンドボックス ソフトウェアで使用される既知の識別子をチェックします。
- ウイルス対策:いくつかのウイルス対策製品を探しています。
- アンチデバッグ:マルウェアは、プロセスに接続されているデバッガーを頻繁にチェックします。
- ディスク容量とメモリのチェック:マルウェアは、最小限のディスク/メモリ サイズでのみ実行されるように設定できます。
これらすべてのチェックの結果に応じて、マルウェアは動作を変更し、実行を停止する可能性があります。
DarkGateは、設定で有効にできる永続化機能を備えています。有効にすると、自身のコピーをハードドライブに保存し、再起動時に実行されるレジストリキーを作成します。
DarkGate は主にサードパーティのマルウェアのローダーですが、それでも組み込み機能を備えています。
- 情報収集: DarkGateはシステムにクエリを実行し、現在ログインしているユーザー、実行中のソフトウェア、プロセスなどに関する情報を取得し、C2サーバーに送信します。また、システムからファイルを収集してC2サーバーに送信したり、スクリーンキャプチャを実行したりすることも可能です。
- 認証情報の窃盗: DarkGateは、ブラウザ、メールソフト、DiscordやFileZillaなどのソフトウェアからパスワードやCookieを盗むことができます。この目的を達成するために、このマルウェアは人気のNirSoftウェブサイトから入手できる複数の正規の無料ツールを使用します。
- 暗号通貨マイニング機能: DarkGate は暗号通貨マイニングツールを起動、停止、および構成できます。
- リモート アクセス ツールの機能: DarkGate は仮想ネットワーク接続を開始し、コマンドを実行できます。
新たな攻撃がMicrosoft Teams経由でDarkGateローダーを拡散する方法
この攻撃は、ダークウェブで販売されていた2つの侵害されたTeamsアカウントを使用して、Microsoft Teams上で送信されたメッセージで構成されています。これらのアカウントは、ユーザーに悪意のあるアーカイブファイルをダウンロードさせて開くよう仕向けるソーシャルエンジニアリングコンテンツを送信するために使用されました(図A)。
図A
zip ファイルを開くと、PDF ドキュメントを装った悪意のある LNK (ショートカット) ファイルが表示されます (図 B )。
図B
LNKファイルをクリックすると、VBScriptファイルを介してAutoITのダウンロードと実行をトリガーするコマンドラインが実行されます。また、AutoITソフトウェアを介して、プリコンパイルされたAutoITスクリプトもダウンロードされ、実行されます。
この攻撃キャンペーンでは、AutoITスクリプトがSophosアンチウイルスソフトの存在を確認します。他のキャンペーンでは、他のアンチウイルスソフトの存在を確認する可能性があります。アンチウイルスソフトがインストールされていない場合、スクリプトはシェルコードをダウンロードし、そのシェルコードはスタックドストリングス技術を用いてバイト単位でファイルをダウンロードします。この手法は、検出を回避しようとします。最終的なペイロードは、DarkGateローダーマルウェアです。
ダークゲートのビジネスモデル
ドイツの企業 Telekom Security のレポートに示されているように、DarkGate ローダーは 2023 年 6 月にその開発者 RastaFarEye (図 C ) によって宣伝されました。
図C
脅威アクターは、サービスとしてのマルウェアの提供先を 10 社のアフィリエイトに限定し、月額 15,000 ドル、年間で 100,000 ドルに設定しました。
RastaFarEye は、マルウェア ビルダーとコントロール パネルを示すビデオも提供しました (図 D )。
図D
DarkGate は、その機能により、金融詐欺に関心のあるサイバー犯罪者やサイバースパイ活動の実行に関心のある脅威アクターにとって最適なツールとなっています。
RastaFarEyeは、DarkGateローダーの開発に加え、Macオペレーティングシステムを標的としたマルウェアを含む、自身が開発したマルウェアを宣伝していました。また、Extended Validation(EV)証明書の作成サービスも提供していました。
DarkGateマルウェアの脅威から身を守る方法
この攻撃キャンペーンでは、脅威アクターはMicrosoft Teamsを利用している組織にメッセージを送信しました。そのため、組織に属さない外部ドメインからのMicrosoft Teamsチャットリクエストを許可しないことを強くお勧めします。チャットリクエストの送信は、ホワイトリストに登録された外部ドメインのみに許可する必要があります。
DarkGate ローダーを配信する他の攻撃キャンペーンでは、電子メールを使用してソーシャル エンジニアリングによりターゲットに悪意のあるファイルを開かせようとしたため、添付ファイルに加えて電子メールに含まれる URL を分析するセキュリティ ソリューションを導入することも推奨されます。
一般的な脆弱性による侵害を防ぐために、すべてのオペレーティング システムとソフトウェアを最新の状態に保ち、パッチを適用する必要があります。
有効な資格情報を所有している脅威アクターであっても企業環境にアクセスできないように、可能な限り多要素認証を導入する必要があります。
