サイバー犯罪のアンダーグラウンドでは、コンピュータへのマルウェアのインストールで収益を得るために、ペイパーインストール(PPI)サービスが利用されています。感染したコンピュータのネットワークを構築できるサイバー犯罪者は、それらのコンピュータへのアクセスを販売します。こうしたサイバー犯罪者は、全てを単独で行うこともあれば、PPI犯罪組織のアフィリエイトとして参加することもあります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
感染したコンピューターのネットワークへのアクセスを購入する人は、DDoS 攻撃や暗号通貨のマイナーの実行、金融詐欺に役立つ情報の入手など、さまざまな目的でそれを行います。
PrivateLoader はどのように機能しますか?
PPIオペレーターは、インストール数、感染マシンの所在地、そしてコンピュータソフトウェアの仕様に関する情報を監視します。そのため、彼らは通常、感染中にローダーを使用します。ローダーは追跡を可能にするだけでなく、感染デバイスにプッシュする追加のペイロードの管理も可能にします。Sekoiaの報告によると、ここでPrivateLoaderが登場します。
PrivateLoader は、2022 年にサイバー犯罪者が最も多く使用するローダーの 1 つです。PPI サービスの一部として広く使用されており、複数のサイバー犯罪者が運営する複数の異なるマルウェア ファミリの配信を可能にします。
このマルウェアはC++プログラミング言語で記述されたモジュール型ローダーです。3つの異なるモジュールを備えています。コアモジュールは難読化、感染ホストのフィンガープリンティング、および解析回避技術を担い、2つ目のモジュールはコマンド&コントロールサーバーに接続して追加のペイロードをダウンロード・実行し、3つ目のモジュールは永続性を確保します。
感染したコンピュータとC2サーバ間の通信は、バイト置換や単一バイトのXOR演算といった単純なアルゴリズムを用いて難読化されます。ローダーはまず、コード内に難読化されたハードコードされたURLにアクセスし、取得したURLをC2サーバへのリクエストとして送信します。C2サーバは、最終的なペイロードへのURLを提供します。Sekoiaの研究者によると、ペイロードの最終的な場所はこの1年で変化しており、DiscordからVK.com、あるいはカスタムURLへと移行しています(図A)。
図A
Sekoiaの研究者は、PPIサービスが運営する4つの異なるアクティブなC2サーバーを発見しました。そのうち2つはロシアでホストされ、残りの2つはチェコ共和国とドイツでホストされていました。研究者らは30台以上の異なるC2サーバーを発見しましたが、これらはセキュリティベンダーによって検知された時点で閉鎖された可能性が高いです。
どのようなペイロードが配布されますか?
先週の PrivateLoader キャンペーンでは、次の種類のマルウェアが配布されました。
- 情報窃盗犯:Redline、Vidar、Racoon、Eternity、Socelars、FAbookie、YTStealer、AgentTesla、Phoenixなど
- ランサムウェア:Djvu
- ボットネット:DanabotとSmokeLoader
- 暗号通貨マイナー:XMRigなど
- 商用マルウェア:DcRAT、Glupteba、Netsupport、Nymaim
興味深いことに、これらの情報窃取ツールの中には、前述のようにトラファーが最も多く利用しているものも含まれています。研究者らは、ほとんどのPPIサービスは独自のトラフィック配信ネットワークを使用しているものの、トラファーチームが提供するようなトラフィック生成サービスを購入しているサービスもあると示唆しています。
Ruzki PPI とは誰ですか?
Sekoia の調査により、PrivateLoader の使用が、PPI が「ruzki」(「lesOk」または「zhigalsz」としても知られる) と呼ぶロシア語圏のサイバー犯罪者の特定のグループに関連付けられました (図 B )。
図B
Ruzki の PPI サービスは、世界中の侵害されたシステムにある数千のインストールのバンドルを販売しています。
2022 年 9 月に提示された価格は、世界中のさまざまなインストールの場合の 70 ドルから、米国ベースのインストールの場合の 1,000 ドルまでの範囲でした。
脅威の攻撃者は、これらのインストールを複数の顧客に同時に販売したり、独占的なアクセスをより高い価格で販売したりする可能性もあります。
このサービスは開始当初、1日あたり最大2万件のインストールを提供していましたが、その能力に関する最新のデータは見つかりませんでした。セコイア氏によると、2021年5月には800人のウェブマスターが複数の感染チェーンを利用していたことが明らかになり、これらのウェブマスターの背後には1つ以上のトラファラーチームがいると疑っています。
RuzkiはPrivateLoaderを所有しています
Ruzkiサービスの加入者によるソーシャルネットワーク上での会話を観察したところ、PPIサービスが提供したURLがPrivateLoader C2サーバーのURLと完全に一致していることが判明しました。さらに、Ruzkiの顧客が言及したIPアドレスは、研究者によってPrivateLoader C2に分類されました。
さらに、複数のPrivateLoaderインスタンスが最終ペイロードとしてRedLineマルウェアをダウンロードしました。これらのRedLineサンプルの大部分には、「ruzki」、「ruzki9」、「3108_RUZKI」など、ruzkiへの直接的な参照が含まれていました。最終的に、SekoiaはPrivateLoaderのC2サーバーすべてに関連する単一のボットネットを特定しました。
Ruzki と PrivateLoader の使用に関するこれらすべての関連性を見て、研究者は高い確信を持って「PrivateLoader は ruzki PPI マルウェア サービスの独自のローダーである」と評価しました。
組織はこの脅威からどのように身を守ることができるでしょうか?
PPIサービスは、コンピュータにマルウェアを感染させることを基盤としています。これらのサービスを運営する事業者によって感染方法は異なりますが、最もよく使われる手法の一つは、様々な魅力的なソフトウェアの「クラック」を提供すると主張するウェブサイトのネットワークを介したものです。また、ピアツーピアネットワーク上で魅力的なソフトウェアを直接ダウンロードすることで拡散される可能性もあります。したがって、ユーザーは違法ソフトウェアを決してダウンロードせず、特にクラッキング行為に関連する実行ファイルを実行しないことを強くお勧めします。
一般的な脆弱性による侵害を回避するため、オペレーティングシステムとすべてのソフトウェアを常に最新の状態にし、パッチを適用することを強くお勧めします。有効な認証情報を持つ攻撃者が簡単にログインしてユーザーになりすますことができないように、インターネットに接続するすべてのサービスに多要素認証を導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
