Titan Stealer:Killnetと手を組むインフォスティーラー型マルウェア
2023年4月17日、ロシアのハクティビスト集団Killnetが、自身のTelegramチャンネルでTitan Stealerとの連携を宣言しました。この投稿によれば、KillnetはTitan Stealerと共闘を開始したように読み取れます。
Titan Stealerは、MaaS形態のインフォスティーラー型マルウェアです。2022年11月末、脅威アクターTitanSellerが、ロシア語圏サイバー犯罪・ハッキングフォーラムにおいて販売を開始しました。以降、このマルウェアはTwitter上で複数回言及されています。
ロシア語ダークウェブ・フォーラムに掲載されたTitan Stealer販売投稿 出典:Luminar
この記事では、Titan Stealerの概要およびIoCを掲載します。
Cognyteは、以下に示すIoCを組織のセキュリティツール等に反映させ、攻撃に備えることを推奨します。
脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。
Cognyte CTI Research Group@Cognyte | 2023年4月
加筆:Internal Research
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
Titan Stealerの特徴と機能
販売開始とディスカウント
このインフォスティーラーは、Go言語で作成されており、MaaSとしてダークウェブ上で販売されています。通常この種のマルウェアは、攻撃者に対し、ターゲットのオンラインアカウントにアクセスすることを可能にします。
広告では、Titan Stealerはいくつかの価格オプションを提供しています。
- 月間サブスクリプション:100USD
- 年間サブスクリプション:800USD
2022年12月には、既に購読済みの顧客に対して20%の、新規購読者に対して15%の割引を発表しました。
Titan Stealerを販売する脅威アクターTitanSellerは、それ以前の活動は確認されていませんが、既に既存の顧客を持っていと推定できます。
機能および管理者用コントロール・パネル
販売宣伝に基づくTitan Stealerの機能は以下のとおりです。
- 20以上のブラウザから、Cookie、パスワード、オートフィル情報、履歴、クレジットカード情報、ブックマークを窃取可能
- MetaMask、TRONを含む64以上の仮想通貨ウォレットからデータを窃取可能
- デスクトップウォレット
- ブラウザウォレット
- ウォレットcoreファイル(wallet.dat, default_wallet, .wallet)
- Binanceウォレットセッション
- Chromiumベースの仮想通貨ウォレット拡張機能からデータを窃取可能
- Telegram等のメッセージングアプリからデータを窃取可能
- Steam等のゲーミングアプリからデータを窃取可能
- FileZilla等のFTPクライアントからデータを窃取可能
- Total Commander等のファイルマネージャからデータを窃取可能
- 侵害マシンのシステム・ハードウェア関連情報を窃取可能
- スクリーンショット
- GPU
- CPU
- RAM
- MACアドレス
- IPアドレス
- ユーザー名
- 地理情報
- カスタマイズ可能なファイルグラバー機能
- 統計データを表示するダッシュボード機能
- 日次のログ窃取数
- 月次の仮想通貨窃取数
- 国ごとのマルウェア侵害マシン数
- マルウェア・ビルダー
- ログ管理機能(ダウンロード、削除等)
管理者用コントロール・パネルのマルウェア・ビルダー 出典:Luminar
管理者用コントロール・パネルのログ画面 出典:Luminar
Killnetコミュニティへの参加宣言
2023年4月17日、ロシアのハクティビスト集団Killnetが、自身のTelegram上でTitan Stealerとの連携を宣言しました。
複数の投稿では、Titan Stealerに関する機能やサブスクリプションの説明、またCISで動作しないことの注意書きを記載するとともに、「Titan Stealer | News」なるTelegram上の別チャンネルにリンクを貼っています。
KillnetのTelegramチャンネルにおけるTitan Stealerのコミュニティ参加通知 出典:Telegram
また直近では、Titan StealerをC/C++で作成しアップグレードしたとの通知がなされています。
推奨策
Titan Stealerはロシア語圏出身の脅威アクターによって開発された新種のインフォスティーラーです。元々MaaS形態で提供されてきましたが、今回Killnetと提携したことにより、その利用がさらに広まる可能性があります。
Cognyteは、次項に示すIoCをセキュリティ・ツールに反映させるとともに、セキュリティツールや製品をアップデートし最新の状態に保つことを推奨します。
SOMPO CYBER SECURITYでは、インフォスティーラーやマルウェアの通信を直接傍受し、組織が持つホストの感染を検知するKryptosLogicサービスを提供しています。
ぜひ以下のホワイトペーパーをご覧ください。 ■攻撃者やマルウェアの通信を傍受する独自技術(Kryptos Logicホワイトペーパー)
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
関連記事
参考ソース
IoC
IoC形式 | 値 |
MD5 | 82040e02a2c16b12957659e1356a5e19 |
MD5 | a98e68c19c2bafe9e77d1c00f9aa7e2c |
MD5 | e0399372dc99b6ae0f6a015ec83a3848 |
MD5 | 6e090ecf5cc303cf305932c7998e8553 |
MD5 | 112480dba9a7232082693c74d9340641 |
MD5 | 1dbe3fd4743f62425378b840315da3b7 |
MD5 | 7d9c66e034e759c8b6858c557093e441 |
MD5 | b4b9ef58c332f79005e7f02f6792566d |
MD5 | dbf2becc551ff79b0f5cbb24e8505039 |
MD5 | bb1e4c23f94aa9abd9f6e6a04d125605 |
MD5 | 7a1f21eed75567f542fd6bba910d7b46 |
MD5 | 3306410611c4501eb9d169ebec1431da |
MD5 | 006d02d09493d7519d088192a13a6fa8 |
MD5 | 2815dee54a6b81eb32c95d42afae25d2 |
MD5 | 9790637fe8a05427928099092a3bd424 |
MD5 | 01e2a830989de3a870e4a2dac876487a |
MD5 | 01fcded4cfe42408f67d6dab9a7404d2 |
MD5 | 31f78c4ddbefa2d6c38511ad0f82a149 |
MD5 | de1b9fa53f5785b5ea13f406aff7a5a5 |
MD5 | 5e79869f7f8ba836896082645e7ea797 |
MD5 | e7f46144892fe5bdef99bdf819d1b9a6 |
MD5 | 6492716adf19960fba587eb9fb4c4cd7 |
MD5 | b0604627aa5e471352c0c32865177f7a |
MD5 | 317cc8afc5a355fb4c469f668ae9577d |
MD5 | a3fd901710432b20e71444570be04f6b |
MD5 | 64ab5cc696bc9ad635675cfff937ce46 |
MD5 | f20a4972b56905eae1707ab8caaf90bd |
MD5 | a491cd93f76b9a11b5b4f25310b1d1e9 |
MD5 | 6cd3112d4606441a87b5ab589105c15e |
MD5 | 205b8a075b57146849be43adbd9052cb |
MD5 | 008b95ddbbd94e524ff0691c8d5ae726 |
MD5 | 4aa2e35f702710adba0ca4db8490e681 |
MD5 | f89d22841ec8a8350035913165885ca1 |
MD5 | 56cc19876a0f45d09f7f409289b254b6 |
MD5 | 646333b790fd16a27128cd80a7d72f5a |
MD5 | 1af2037acbabfe804a522a5c4dd5a4ce |
MD5 | a0c3589d9ec1907e79eb6cb32be9ae55 |
MD5 | 17f3277513d19cf79bbe6559fb2052c0 |
SHA-1 | a4bc61e671875a5a63f3221b9e04d9295bc8e5be |
SHA-1 | 90097f106675b3ee460a9d32f94d15cb6f8daefe |
SHA-1 | 1093944154a657965fceebcdfb65c684ba2829e6 |
SHA-1 | 87c9bd18058ded5cc0d3e0d409a27c485a9dcc7a |
SHA-1 | 0adc8d8ed64fc3f1a87a007d06ac6daa19294005 |
SHA-1 | 1285315ced4d787fea9f8f05d6a3620c08bae42d |
SHA-1 | 40078854417904059f471f46af814e431060b3ca |
SHA-1 | c2b3d1322f29bbad181adeefd693963a04a6be59 |
SHA-1 | 8f504b51d77409c1cec232c764d62398b3d537ea |
SHA-1 | 8f47c33ca75b217592aa63ebf86ac4e741caf4a6 |
SHA-1 | f4e5bc2308b43867441d47d58bacbfae436a51e6 |
SHA-1 | 24c0f39183f9d5e71da00aa876893096f5a75508 |
SHA-1 | 374353a50935fd8559eca1221ae5a74677d6c3c7 |
SHA-1 | 9c3f46f24a2fc4dbab05abc0012197b1026a5bdf |
SHA-1 | 3b0d6ef5ada8abbed5ac6b76e551f448001d1539 |
SHA-1 | 70f91a528227f6746fb932deb2b3f1e4011953ee |
SHA-1 | 4c61a91b5f13a9b29ae9e8f01c1410c1687cc6d3 |
SHA-1 | c4349feb00479e8147e563510b062bf04fd702a5 |
SHA-1 | 3cd2aa66d48168d68106bd8ff802443cd822e070 |
SHA-1 | c9870daede50e20cb277f77c6c7971b901dcabbc |
SHA-1 | 763ac1ea8c3de617457f64a8ce4eabe7ab8a3abb |
SHA-1 | 4c3e6976621bfadea35293a9cbbeb67544d28b14 |
SHA-1 | 48fedb8fbbb3c7adb5eff891c713c0decd6a6c07 |
SHA-1 | cb8d5a1abeb5e2c6f915ab9aec375465f8611e0d |
SHA-1 | 238834d642637392112de8a35acad4ca7f5ab5d8 |
SHA-1 | 7a452ab92258b5c8ce1fd60bd0e5a5cb75ca9da5 |
SHA-1 | 7d4fdb6f1fe77f8dc9335fb0f627dc2ce64a7ade |
SHA-1 | 5bd4c8da354fadb9729989d281e3823e9151531d |
SHA-1 | 1360ad799eb4a4050ebd6142dbb3488fd74f320e |
SHA-1 | 671c1dd5b7deaa3ffa92318cf42089f854fed4cc |
SHA-1 | 574293b8107289a7ee30b2faaeb0db030338bf5e |
SHA-1 | 3e4aab94d9bd20fd423f19ce2972407f358d9ce8 |
SHA-1 | a1e79d95872ff57bd2e61a5476ecd00004084a9c |
SHA-1 | 624dab4529371a4da07ed1c37be63184c037e859 |
SHA-1 | 69e085fbb6b87ab837b86f180a2eacf37e9d5659 |
SHA-1 | 119f5b7da9e57bad8b618c660d21a91d06d1795c |
SHA-1 | 58ba8df3950709d56a13dfdb89b6798e1eba21ff |
SHA-1 | ad1e3466883a4e3150d14de7ae5c394bf969bd1d |
SHA-256 | a7dfb6bb7ca1c8271570ddcf81bb921cf4f222e6e190e5f420d4e1eda0a0c1f2 |
SHA-256 | 4264a0c8d7acc6f10539285aa557a2d9d0298285b0a75a51a283241ccf11c94f |
SHA-256 | c7666ab10f51c5b7a1e6f38092f76b9698403e4b43d48d4de1a877d5074bcdb6 |
SHA-256 | e4584bb5db986d9f64297863cd5a7c4062aeeb7e4775dbda4d93d760406165a8 |
SHA-256 | d102927d8de577b66bd286aaeec286fc193158ef33cb3990bf16ed2e56cc345a |
SHA-256 | e54a6551dd6e290cbe53d9ceda9e6d2bf36c1010ee939f3192c97de6b5a2650c |
SHA-256 | 510c2a5a1a19db6c95aa2a20809644f08c61bd62043e024a38aaeabdf2f28472 |
SHA-256 | 58ce7c6a29275e2f36dae0157629f0f4ea33ff20e365ad99187953c08526605d |
SHA-256 | 67e3b73fd085d36488e82c8421869343be3a662949aef2a9fe0e89aca343cf4a |
SHA-256 | 094cd4ac9a7c9386a1816e73da99255805f23b7359cbb510d27bbf447a62b107 |
SHA-256 | e7152d9e3bf7da93fc040da203f1edaa00eb57192de664ad8ed995bda6ba74c4 |
SHA-256 | cada8a439b0e18746d9de8f178834237dc8d28ba3a0528ce8881bd7091a24dd9 |
SHA-256 | b92f13f0b831d99acf51bf5b72665945e04aadd35709469ca76131c1451aa23b |
SHA-256 | 30c1f93a3d798bb18ef3439db0ada4e0059e1f6ddd5d860ec993393b31a62842 |
SHA-256 | b82264c4d25cc2a59218917804842d5f05dca2e9575b87b7375bd40c835f85b8 |
SHA-256 | af58e830feef2f4086fb52dafda6084b3b85c6200f4cbc35a5460fb703dd39df |
SHA-256 | fcbd98972f1b5bd266e72628d73a5ddbdd8d929c0faa5f9696675682bf42de7e |
SHA-256 | fc65306fd281906b297aef81dd58c26bf6e379e6d04fc01e2aeb37f0d0a52428 |
SHA-256 | f16e0d5c8151b95bb35a3a739f402abc073d7682feed3f69414a1f7b8c9e61e7 |
SHA-256 | eb8faad12b1bc7657060878a8b672344c95a0a6cdedeedf7b2702c7add6a815d |
SHA-256 | e252a54e441ea88aafa694259386afd002153481af25a5b7b2df46d17ac53fcc |
SHA-256 | dffbad82fda8aba3509a07f0ff1438ea7a7b777757e6f574e7b9776741bc1a65 |
SHA-256 | c78767cb268589c7e3519f8643c7d7bc891ee3e8f8660f9340419af278ade263 |
SHA-256 | b12da9cdf5de68ce96b9ef156eecfc11cd64f0f1ceb6a5b0f2309dc50029688e |
SHA-256 | ae16c15f8162fa1e1d0fcee6d0e68fc7330324255e052a5a00b5b9f5b426154b |
SHA-256 | a9048695909332d3662eb860192d35016ba4d2bdc81d7e35b0a972c4708c76b7 |
SHA-256 | a7f9cf96c00f30db3c5220d07104631a87cbc6bd129940d06e3c7a32394dd9cf |
SHA-256 | a650a905edc4ee0083ddeffbacbf307778fbbb8143ca96687d3fb42fed48f095 |
SHA-256 | a482770992c1c59d44140a5f0e831f6174ac4415ec69c8f3267b828694940b5b |
SHA-256 | 9f02c69c3d9e30ef433b08fc25171b49f7aced258f3625bd88548e5e57cd9379 |
SHA-256 | 9a50a49f8516855ecef0ee02c073a69357ee0836507df64f7c5ec88e71646f0b |
SHA-256 | 7f6e3f226a8ec7027cca2c7359e54d39e0bfd27b288e0022bed2eee0bff9a81e |
SHA-256 | 78e27b98a7490de940c39948497894aba3d1408dd3ca2bbaa26430032b0a0bd6 |
SHA-256 | 6afdfee605fea7f98b5be7fd4a50bc24181929a22530fdd01c2bc4f012ee4ba2 |
SHA-256 | 5c0aa7009722bc7f2ef10541963375ed3b85ad6663fbffcfd0e4ff3b8ad49933 |
SHA-256 | 152ef5fcd0278e127c3df415018857f3aed0a748160032356786815ccbe870d5 |
SHA-256 | 03a53ac8f00b43abaf2de8e546431ee0949f67192b82876eac424c36dd820e9f |
SHA-256 | 01bad7f8fe6dd20f9c1efeae2a31cfc0ac4e865cc72033c12d1b1a200cf8be3c |
URL | htpp://77.73.133.88/login/ |
URL | htpp://77.73.133.88:5000/sendlog |