新種の"Alice"ランサムウェアとクリッパー・マルウェアがダークウェブで公開
当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. が、2022年10月、"Alice in the Land of Malware"と呼ばれるマルウェア販売プロジェクトを検知しました。
ダークウェブフォーラムに投稿されたマルウェア販売投稿 出典:Luminar
このプロジェクトは、ロシア語のダークウェブおよびハッカーフォーラムに出現し、クリッパー・マルウェアおよびランサムウェアを含む複数のマルウェアを公開・販売しています。プロジェクト運営者であるAlice_Malwareは、ロシア語ダークウェブで活動するハッカー・グループの構成員と名乗っています。
本記事では今回Cognyteが検知した新種のマルウェアについて報告します。
Cognyte CTI Research Group@Cognyte | 2022年11月
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
クリッパー・マルウェア
ハッカーがダークウェブ上で販売を行ったマルウェアの1つがクリッパーです。
クリッパーは、標的のクリップボードにコピーされた暗号通貨ウォレットアドレスを、攻撃者のアドレスに置き換えることで、被害者から暗号通貨を盗むように設計された悪意のあるソフトウェアです。
この手法は、正当な暗号通貨取引が発生した際に標的を欺くことにより、攻撃者がその取引の新しい受領者になるよう設計されています。
このクリッパーは、2022年10月2日に Alice_Malware によっていくつかのロシアのダークウェブフォーラムで公開されました。販売広告によると、クリッパーはC++プログラミング言語で書かれています。さらに、クリッパーは独立しており、独自の暗号化キーを持っています。
クリッパーのビルダー・スクリーンショット 出典:Luminar
投稿から読み取れる、このマルウェアの機能は以下のとおりです。
- 攻撃可能なウォレットはイーサリアム、Dogecoin、Monero、Dash、Litecoin、Bitcoin、Zcash、Emercoin、Peercoin
- 管理者権限で実行可能
- ビルダー(マルウェア生成ツール)を利用し、自己破壊メカニズムやアイコン変更などの検知回避機能を利用可能
- コンピュータが既にこのマルウェアに感染していた場合の二重起動防止
- 旧ソ連諸国(CIS)に対する攻撃を除外
- 仮想環境解析やサンドボックス機能を無効化するアンチアナリシス機能
- アンチウイルスソフトからの防護
このクリッパー・マルウェアは、いくつかのサブスクリプションプランで販売されており、また対応仮想通貨を追加するプランも存在します。
ランサムウェア
2022年10月23日、脅威アクターAlice_Malwareは、ダークウェブフォーラムDarkmarketおよびbdfにおいてランサムウェアを公開しました。
このランサムウェアはRaaS形態で運用され、高度な暗号化や独自暗号化キー生成機能を備えています。
WindowsXP+およびWindows7から11までのOSに対応しています。
このランサムウェアが暗号化したコンピュータに残すメッセージは、ビルダーによってカスタマイズ可能であり、アジア・アラビア諸国の言語にも対応しています。
2022年11月現在、このランサムウェアのIoCは確認されていませんが、次のような技術的な細部は判明しています。
- ランサムウェアビルダーは、"Encryptor.exe"および"Decryptor.exe"という2種類の実行ファイルを生成します。
- 暗号化に成功した場合、ファイルには".alice"の拡張子が付き、"How to Restore Your File.txt"というランサムノートを残します。
このランサムウェアも、クリッパーと同様、複数のサブスクリプションプランにて提供されています。
ランサムウェア・ビルダーのスクリーンショット 出典:Luminar
"Alice in the Land of Malware"とは
マルウェア販売者Alice_Malwareは、製品のサポートやマニュアルの提供をうたっており、セキュアメールを通じて顧客と連絡をとっていると推測されます。Telegram上にも連絡先も公開しています。
現状、Alice_Malwareはサイバー犯罪グループの一員であり、Alice in the Land of Malwareもグループのプロジェクトの1つと考えられます。このグループは以前から活動を続けており、ハッキング初心者から高練度者までをサポートする体制から、販売するマルウェアも広く普及している可能性が高いといえます。
最後に
Alice in the Land of Malwareが販売するクリッパー・マルウェアおよびランサムウェア(Aliceランサムウェア)は、日本での感染事例などはまだ確認されていません。
しかし、様々な脅威者にとって手の届きやすいMaaS、RaaSであるため、今後注意していく必要があるでしょう。
Cognyteでは、この脅威に対する推奨策としてセキュリティシステムや各種ソフトウェアおよびシステムの最新版へのアップデートを挙げています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
情報ソース