SOMPO CYBER SECURITY
脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。
Cognyte CTI Research Group@Cognyte | 2023年5月
Phoenix Stealerは、MaaS形態のインフォスティーラー型マルウェアです。このマルウェアは2023年2月にダークウェブ上のロシア語ハッキングフォーラムに登場し、phoenix1およびphoenixStealという2種の脅威アクターによって販売されています。
このマルウェアの価格は月額99USDとなっています。
この記事では、Phoenix Stealerの概要を紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
ハッキングフォーラムに投稿された宣伝によれば、Phoenix Stealerの諸元は以下のとおりです。
このマルウェアは、感染したデバイス内で、システムコールを利用し目的のファイルをスキャンします。また、複数のポピュラーなプログラムの拡張子を持つファイルを収集し、スクリーンショットを取ることもできます。
また、以下を含む様々な仮想通貨ウォレットからデータを窃取します。
またPhoenix Stealerは、ChromiumおよびGeckoベースのブラウザからパスワード、クッキー、オートフィル(自動入力)、クレジットカード情報、位置情報などを窃取します。
感染デバイスのシステム情報(ハードウェアID、プロセッサ、ビデオカード、キーボードレイアウト、OSバージョン、IPアドレス)も収集します。
Phoenix Stealerの販売者によれば、このマルウェアはTelegramボットを通じたログの送信以外にC2通信を行わないと説明しています。
また、WindowsAPIの中に自身を隠匿する機能を備えています。
Phoenix Stealerのコントロール・パネルは、ユーザーに以下の機能を提供しています。
販売者が公開しているスクリーンショットから、現在このマルウェアの感染は、オランダやブルガリア等の欧州諸国、南アフリカ、イエメン、ブラジル、ベトナム、フィリピン、アルゼンチン、コロンビア、UAE、アルジェリア、バングラデシュ、ベナン、ボリビア、ボツワナ、チリ、中国で確認できます。
Phoenix Stealerの販売開始以降、脅威アクターは複数の機能追加を行いました。
Phoenix Stealerに対して、ハッカーフォーラムのメンバーからレビューが付けられていますが、その評価は賛否両論です。
あるレビュアーはマルウェアの機能やコントロール・パネルのシンプルさを評価する一方、他のユーザーは、初心者向けのスティーラーであり上級ハッカー向けではないと評しています。
別のユーザーは、宣伝と異なりPsExecを通じた動作が行われなかったとして払い戻しを受けたようです。
同様に、マルウェア自体が動作しなかったという投稿も存在します。
Phoenix Stealerは2種の脅威アクター、Phoenix1およびPhoenixStealによって、それぞれ異なるハッキングフォーラムで宣伝されています。
ただし、Telegramの連絡先は同一であることから、これらの脅威アクターはチームで働いているか、同一脅威アクターであることが推測されます。
Phoenix1はロシア語ハッキングフォーラムXSSでマルウェアを宣伝しています。PhoenixStealはロシア語ハッキングフォーラムExploitフォーラムおよびCoockieproフォーラムで宣伝を行っています。
今回紹介したPhoenix Stealerとは別に、2021年11月にPh0enix Stealerというマルウェアが報告されています。
さらに、2022年3月には、親ウクライナのユーザーを標的にしたPhoenixというインフォスティーラーが観測されました。サイバー犯罪者は、「ロシアをターゲットにしたウクライナ支援用攻撃ツール」を配布すると偽り、このマルウェアをユーザーにダウンロードさせようとしました。
しかしながら、これらのマルウェアが今回紹介したPhoenix Stealerと同一化どうかは不明です。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)