ダークウェブで販売中のPhoenix Stealerは賛否両論？

カテゴリ

サイバーセキュリティブログ  記事一覧  サイバーセキュリティニュース 

タグ

脅威インテリジェンス  サイバー犯罪  Cognyte  マルウェア  サイバー攻撃・ハッキング  ダークウェブ 

脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。

 Cognyte CTI Research Group@Cognyte | 2023年5月

Phoenix Stealerは、MaaS形態のインフォスティーラー型マルウェアです。このマルウェアは2023年2月にダークウェブ上のロシア語ハッキングフォーラムに登場し、phoenix1およびphoenixStealという2種の脅威アクターによって販売されています。
このマルウェアの価格は月額99USDとなっています。

この記事では、Phoenix Stealerの概要を紹介します。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

Phoenix Stealerの宣伝概要

基本機能

Phoenix Stealerの宣伝投稿の1つ　出典：Cognyte Luminar

ハッキングフォーラムに投稿された宣伝によれば、Phoenix Stealerの諸元は以下のとおりです。

• CあるいはC++で作成されており、サイズは30KB程度。
• ソースコードは一から作成しており、サードパーティ製ライブラリ等は使用していない。
• WindowsXPからWindows11までのあらゆるWindowsバージョンで動作する。
• CIS諸国では動作しない。

このマルウェアは、感染したデバイス内で、システムコールを利用し目的のファイルをスキャンします。また、複数のポピュラーなプログラムの拡張子を持つファイルを収集し、スクリーンショットを取ることもできます。
また、以下を含む様々な仮想通貨ウォレットからデータを窃取します。

• Metamask
• Trust
• Exodus
• Atomic
• Ronin
• Binance
• Tron
• Bitcoin
• Jaxx
• WOW
• Phantom
• Guarda
• MEW

またPhoenix Stealerは、ChromiumおよびGeckoベースのブラウザからパスワード、クッキー、オートフィル（自動入力）、クレジットカード情報、位置情報などを窃取します。
感染デバイスのシステム情報（ハードウェアID、プロセッサ、ビデオカード、キーボードレイアウト、OSバージョン、IPアドレス）も収集します。

Phoenix Stealerの販売者によれば、このマルウェアはTelegramボットを通じたログの送信以外にC2通信を行わないと説明しています。
また、WindowsAPIの中に自身を隠匿する機能を備えています。

コントロール・パネル

Phoenix Stealerのコントロール・パネルは、ユーザーに以下の機能を提供しています。

• マルウェア・ビルダー機能
• モバイルデバイスを通じたログ確認・整理
• 国ごとのログ統計とタグ付け

販売者が公開しているスクリーンショットから、現在このマルウェアの感染は、オランダやブルガリア等の欧州諸国、南アフリカ、イエメン、ブラジル、ベトナム、フィリピン、アルゼンチン、コロンビア、UAE、アルジェリア、バングラデシュ、ベナン、ボリビア、ボツワナ、チリ、中国で確認できます。

販売者が共有したマルウェアのコントロール・パネル　出典：Cognyte Luminar

機能強化

Phoenix Stealerの販売開始以降、脅威アクターは複数の機能追加を行いました。

• 対象仮想通貨ウォレットの追加
  • Yoroi
  • Math
  • Station
  • Ton
  • KardiaChain
  • Wombat
  • Core
  • Bitkeep
  • Exodus Web3
• ドメインに基づくログ検索機能
• ブラウザベース・ウォレット（Metamask、Ronin、Binance、Tron、Phantom、Guarda、MyEther、Coin98等）のアドレス自動検知

追加されたドメインベースの検知機能　出典：Cognyte Luminar

Telegramを通じたログ受信例　出典：Cognyte Luminar

ハッカーフォーラムでの評判は賛否両論

Phoenix Stealerに対して、ハッカーフォーラムのメンバーからレビューが付けられていますが、その評価は賛否両論です。
あるレビュアーはマルウェアの機能やコントロール・パネルのシンプルさを評価する一方、他のユーザーは、初心者向けのスティーラーであり上級ハッカー向けではないと評しています。
別のユーザーは、宣伝と異なりPsExecを通じた動作が行われなかったとして払い戻しを受けたようです。
同様に、マルウェア自体が動作しなかったという投稿も存在します。

脅威アクターについて

Phoenix Stealerは2種の脅威アクター、Phoenix1およびPhoenixStealによって、それぞれ異なるハッキングフォーラムで宣伝されています。
ただし、Telegramの連絡先は同一であることから、これらの脅威アクターはチームで働いているか、同一脅威アクターであることが推測されます。

Phoenix1はロシア語ハッキングフォーラムXSSでマルウェアを宣伝しています。PhoenixStealはロシア語ハッキングフォーラムExploitフォーラムおよびCoockieproフォーラムで宣伝を行っています。

 Phoenix1のTelegramアカウント

推測―同名マルウェアとの関連性

今回紹介したPhoenix Stealerとは別に、2021年11月にPh0enix Stealerというマルウェアが報告されています。
さらに、2022年3月には、親ウクライナのユーザーを標的にしたPhoenixというインフォスティーラーが観測されました。サイバー犯罪者は、「ロシアをターゲットにしたウクライナ支援用攻撃ツール」を配布すると偽り、このマルウェアをユーザーにダウンロードさせようとしました。
しかしながら、これらのマルウェアが今回紹介したPhoenix Stealerと同一化どうかは不明です。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(ＳＯＭＰＯホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

参考ソース

• 2021年に公開された同名のPh0enix Stealerマルウェア
• Threat advisory: Cybercriminals compromise users with malware disguised as pro-Ukraine cyber toolsm by Cisco Talos