メモリ内にのみ常駐するステルス型のマルウェアが、2 年間にわたって世界中の被害者を静かに攻撃してきました。
「Latentbot」と呼ばれるこのバックドアは、少なくとも2013年半ばから、あるいはそれ以前からウェブ上で巧妙に隠蔽されてきた。FireEyeのセキュリティ研究者によると、このペイロードは被害者のハードディスクには一切アクセスせず、メモリ内にのみ存在するという。
「このマルウェアはインターネット上にほとんど痕跡を残さず、気付かれずに被害者を監視することができ、ハードディスクを破壊してパソコンを使えなくすることさえできる」とファイア・アイのタハ・カリム氏とダニエル・レガラド氏はブログ記事で説明している。
潜在ボットの感染サイクル
今年だけでも、米国、英国、韓国、ブラジル、アラブ首長国連邦、シンガポール、カナダ、ペルー、ポーランドの企業がLatentbotの標的となっています。FireEyeは、Dynamic Threat Intelligenceプラットフォームに保管されているログからこれらの攻撃を検出しました。主な標的には、金融サービスおよび保険業界の企業が含まれています。
「感染戦略自体は目新しいものではないが、最終的に投下されたペイロード(我々はこれをLatentbotと名付けた)は、複数の新たな難読化層と独自の情報抽出メカニズムを実装しており、複数の組織への感染に非常に成功していることから、我々の注目を集めた」とFireEyeは述べている。
「カスタム暗号化アルゴリズムとよく知られたプロトコル(例えば、Anglerエクスプロイトキットに最近実装されたDiffie-Hellmanなど)の使用により、ネットワークレベルでの検出がさらに困難になり、巧妙さのレベルが上がっている」と付け加えている。
マルウェアのモジュール設計により、犯罪者は侵入したマシン上の悪意のあるコードを簡単に更新し、ビットコイン盗難用のモジュールが装備されたPonyインフォスティーラーなどの二次感染をインストールできます。
LatentbotはWindows VistaおよびServer 2008では動作しません。このマルウェアプラットフォームは、侵害されたウェブサイトをコマンドインフラストラクチャとして利用することで、感染を容易にし、検出を困難にしています。また、コマンド&コントロール通信は暗号化されています。
主な感染経路の一つは、Microsoft Word Intruder(MWI)ビルダーで作成された古いWordエクスプロイトを含む悪意のあるメールです。添付されたWord文書を開くと、埋め込まれた悪意のある実行ファイルが起動し、MWISTATサーバーにビーコンを送信します。この悪意のあるコードは、パスワードの窃取、キーストロークの記録、ファイルの転送、接続されたマイクやウェブカメラの有効化などの機能を備えたフル機能のRATです。
マルウェア感染のほとんどは、感染したコンピュータが既に完全に乗っ取られているため、そこで止まります。しかし、FireEyeの研究者たちは、別のコマンド&コントロールサーバーから別のペイロードがダウンロードされていることを発見しました。この新しいモジュールはLatentbotであり、これがさらに悪意のあるペイロードをダウンロードします。
FireEyeによると、「Latentbotは高度に難読化されていますが、複数のプロセスインジェクションにより、適切な挙動ベースのソリューションを用いればメモリ内で容易に検出できるほどのノイズを伴います」とのことです。「マルウェアがセキュリティ対策を回避できた場合に備えて、アウトバウンドコールバックの追跡とブロックも必須です。」®
