%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. ダークウェブで販売中のPhoenix Stealerは賛否両論?

ダークウェブで販売中のPhoenix Stealerは賛否両論?

  • LINEで送る
  • このエントリーをはてなブックマークに追加
ダークウェブで販売中のPhoenix Stealerは賛否両論?

脅威インテリジェンスプラットフォームCognyteは、ダークウェブTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。

 Cognyte CTI Research Group@Cognyte | 2023年5月

Phoenix Stealerは、MaaS形態のインフォスティーラーマルウェアです。このマルウェアは2023年2月にダークウェブ上のロシア語ハッキングフォーラムに登場し、phoenix1およびphoenixStealという2種の脅威アクターによって販売されています。
このマルウェアの価格は月額99USDとなっています。

この記事では、Phoenix Stealerの概要を紹介します。

 

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

 

Phoenix Stealerの宣伝概要

基本機能

Phoenix Stealerの宣伝投稿の1つ 出典:Cognyte Luminar

ハッキングフォーラムに投稿された宣伝によれば、Phoenix Stealerの諸元は以下のとおりです。

  • CあるいはC++で作成されており、サイズは30KB程度。
  • ソースコードは一から作成しており、サードパーティ製ライブラリ等は使用していない。
  • WindowsXPからWindows11までのあらゆるWindowsバージョンで動作する。
  • CIS諸国では動作しない。

このマルウェアは、感染したデバイス内で、システムコールを利用し目的のファイルをスキャンします。また、複数のポピュラーなプログラムの拡張子を持つファイルを収集し、スクリーンショットを取ることもできます。
また、以下を含む様々な仮想通貨ウォレットからデータを窃取します。

  • Metamask
  • Trust
  • Exodus
  • Atomic
  • Ronin
  • Binance
  • Tron
  • Bitcoin
  • Jaxx
  • WOW
  • Phantom
  • Guarda
  • MEW

またPhoenix Stealerは、ChromiumおよびGeckoベースのブラウザからパスワード、クッキー、オートフィル(自動入力)、クレジットカード情報、位置情報などを窃取します。
感染デバイスのシステム情報(ハードウェアID、プロセッサ、ビデオカード、キーボードレイアウト、OSバージョン、IPアドレス)も収集します。

Phoenix Stealerの販売者によれば、このマルウェアはTelegramボットを通じたログの送信以外にC2通信を行わないと説明しています。
また、WindowsAPIの中に自身を隠匿する機能を備えています。

コントロール・パネル

Phoenix Stealerのコントロール・パネルは、ユーザーに以下の機能を提供しています。

  • マルウェア・ビルダー機能
  • モバイルデバイスを通じたログ確認・整理
  • 国ごとのログ統計とタグ付け

販売者が公開しているスクリーンショットから、現在このマルウェアの感染は、オランダやブルガリア等の欧州諸国、南アフリカ、イエメン、ブラジル、ベトナム、フィリピン、アルゼンチン、コロンビア、UAE、アルジェリア、バングラデシュ、ベナン、ボリビア、ボツワナ、チリ、中国で確認できます。

販売者が共有したマルウェアのコントロール・パネル 出典:Cognyte Luminar

機能強化

Phoenix Stealerの販売開始以降、脅威アクターは複数の機能追加を行いました。

  • 対象仮想通貨ウォレットの追加
    • Yoroi
    • Math
    • Station
    • Ton
    • KardiaChain
    • Wombat
    • Core
    • Bitkeep
    • Exodus Web3
  • ドメインに基づくログ検索機能
  • ブラウザベース・ウォレット(Metamask、Ronin、Binance、Tron、Phantom、Guarda、MyEther、Coin98等)のアドレス自動検知

追加されたドメインベースの検知機能 出典:Cognyte Luminar

Telegramを通じたログ受信例 出典:Cognyte Luminar

ハッカーフォーラムでの評判は賛否両論

Phoenix Stealerに対して、ハッカーフォーラムのメンバーからレビューが付けられていますが、その評価は賛否両論です。
あるレビュアーはマルウェアの機能やコントロール・パネルのシンプルさを評価する一方、他のユーザーは、初心者向けのスティーラーであり上級ハッカー向けではないと評しています。
別のユーザーは、宣伝と異なりPsExecを通じた動作が行われなかったとして払い戻しを受けたようです。
同様に、マルウェア自体が動作しなかったという投稿も存在します。

 

脅威アクターについて

Phoenix Stealerは2種の脅威アクター、Phoenix1およびPhoenixStealによって、それぞれ異なるハッキングフォーラムで宣伝されています。
ただし、Telegramの連絡先は同一であることから、これらの脅威アクターはチームで働いているか、同一脅威アクターであることが推測されます。

Phoenix1はロシア語ハッキングフォーラムXSSでマルウェアを宣伝しています。PhoenixStealはロシア語ハッキングフォーラムExploitフォーラムおよびCoockieproフォーラムで宣伝を行っています。

 Phoenix1のTelegramアカウント

 

推測―同名マルウェアとの関連性

今回紹介したPhoenix Stealerとは別に、2021年11月にPh0enix Stealerというマルウェアが報告されています。
さらに、2022年3月には、親ウクライナのユーザーを標的にしたPhoenixというインフォスティーラーが観測されました。サイバー犯罪者は、「ロシアをターゲットにしたウクライナ支援用攻撃ツール」を配布すると偽り、このマルウェアをユーザーにダウンロードさせようとしました。
しかしながら、これらのマルウェアが今回紹介したPhoenix Stealerと同一化どうかは不明です

 


SOMPO CYBER SECURITYでは、今回ご紹介したCognyteのような脅威アクターの活動を検知するサービスの他にも、インフォスティーラーやマルウェアの通信を直接傍受し、組織が持つホストの感染やクレデンシャル漏洩を検知するKryptosLogicサービスを提供しています。
ぜひ以下のホワイトペーパーをご覧ください。

■攻撃者やマルウェアの通信を傍受する独自技術(Kryptos Logicホワイトペーパー)

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

参考ソース

 

  • LINEで送る
  • このエントリーをはてなブックマークに追加