SOMPO CYBER SECURITY
当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. が、2022年10月、"Alice in the Land of Malware"と呼ばれるマルウェア販売プロジェクトを検知しました。
ダークウェブフォーラムに投稿されたマルウェア販売投稿 出典:Luminar
このプロジェクトは、ロシア語のダークウェブおよびハッカーフォーラムに出現し、クリッパー・マルウェアおよびランサムウェアを含む複数のマルウェアを公開・販売しています。プロジェクト運営者であるAlice_Malwareは、ロシア語ダークウェブで活動するハッカー・グループの構成員と名乗っています。
本記事では今回Cognyteが検知した新種のマルウェアについて報告します。
Cognyte CTI Research Group@Cognyte | 2022年11月
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
ハッカーがダークウェブ上で販売を行ったマルウェアの1つがクリッパーです。
クリッパーは、標的のクリップボードにコピーされた暗号通貨ウォレットアドレスを、攻撃者のアドレスに置き換えることで、被害者から暗号通貨を盗むように設計された悪意のあるソフトウェアです。
この手法は、正当な暗号通貨取引が発生した際に標的を欺くことにより、攻撃者がその取引の新しい受領者になるよう設計されています。
このクリッパーは、2022年10月2日に Alice_Malware によっていくつかのロシアのダークウェブフォーラムで公開されました。販売広告によると、クリッパーはC++プログラミング言語で書かれています。さらに、クリッパーは独立しており、独自の暗号化キーを持っています。
クリッパーのビルダー・スクリーンショット 出典:Luminar
投稿から読み取れる、このマルウェアの機能は以下のとおりです。
このクリッパー・マルウェアは、いくつかのサブスクリプションプランで販売されており、また対応仮想通貨を追加するプランも存在します。
2022年10月23日、脅威アクターAlice_Malwareは、ダークウェブフォーラムDarkmarketおよびbdfにおいてランサムウェアを公開しました。
このランサムウェアはRaaS形態で運用され、高度な暗号化や独自暗号化キー生成機能を備えています。
WindowsXP+およびWindows7から11までのOSに対応しています。
このランサムウェアが暗号化したコンピュータに残すメッセージは、ビルダーによってカスタマイズ可能であり、アジア・アラビア諸国の言語にも対応しています。
2022年11月現在、このランサムウェアのIoCは確認されていませんが、次のような技術的な細部は判明しています。
このランサムウェアも、クリッパーと同様、複数のサブスクリプションプランにて提供されています。
ランサムウェア・ビルダーのスクリーンショット 出典:Luminar
マルウェア販売者Alice_Malwareは、製品のサポートやマニュアルの提供をうたっており、セキュアメールを通じて顧客と連絡をとっていると推測されます。Telegram上にも連絡先も公開しています。
現状、Alice_Malwareはサイバー犯罪グループの一員であり、Alice in the Land of Malwareもグループのプロジェクトの1つと考えられます。このグループは以前から活動を続けており、ハッキング初心者から高練度者までをサポートする体制から、販売するマルウェアも広く普及している可能性が高いといえます。
Alice in the Land of Malwareが販売するクリッパー・マルウェアおよびランサムウェア(Aliceランサムウェア)は、日本での感染事例などはまだ確認されていません。
しかし、様々な脅威者にとって手の届きやすいMaaS、RaaSであるため、今後注意していく必要があるでしょう。
Cognyteでは、この脅威に対する推奨策としてセキュリティシステムや各種ソフトウェアおよびシステムの最新版へのアップデートを挙げています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
情報ソース