データ窃盗団が、PythonとCの両方の亜種でCastleRATマルウェアを開発し、攻撃の手口を巧妙化させています。どちらのバージョンも、偽の修正プログラムとログインプロンプトを使用するClickFixと呼ばれる手法でユーザーを騙し、悪意のあるコマンドを貼り付けさせることで拡散します。
しかし、Recorded Futureのセキュリティ研究者がCastleRATと名付けたこのマルウェアの2つの亜種は、全く同じではありません。どちらもリモートシェル経由でマルウェアを検知し、追加のマルウェアをダウンロードします。Pythonビルドは必要に応じて自己削除が可能です。Cビルドは最も巧妙で、キーストロークの収集、スクリーンキャプチャの取得、そして永続性の登録が可能です。
しかし、この一見矛盾する現象には、ある方法があります。Pythonの亜種は、レーダーをすり抜けるのがはるかに巧妙なのです。
「CastleRATのC亜種はまだ公式に特定されていないが、特定のマルウェアファミリーに特定されていない多数の汎用ウイルス対策ソフトで検出されている」とRecorded Futureのレポートは述べている。「そのため、CastleRATのPython亜種はステルス性を考慮して設計された可能性が高い。現在、ウイルス対策ソフトによる検出はゼロ、あるいは極めて少ない。」
このマルウェアは、今春初めて確認されたTAG-150という犯罪集団によって運用されています。彼らは既に、CastleBotとCastleLoaderという2つのマルウェアファミリーを開発しており、これらは偽のGitHubリポジトリや、ソーシャルエンジニアリングによってコンピューターユーザーにマルウェアを実行させるClickFix攻撃と呼ばれる手法で拡散しています。
- 偽のCAPTCHAテストでユーザーを騙してマルウェアを実行させる
- Booking.comから届いた「怒ったゲスト」メール?それは1つ星レビューではなく詐欺です
- 攻撃者はSitecoreを偵察し、公開サンプルキーを使ってマルウェアを投下する
- DDoS攻撃は、無視されながらも規模を拡大しているサイバー犯罪です。撲滅しましょう
昨年初めて発見されたClickFixという手法は、一般的なアプリケーションやウェブサービスの偽のログイン画面を使用し、ユーザーに問題が発生しており修正が必要だと伝えます。そして、Windowsの「ファイル名を指定して実行」ダイアログボックスまたはPowerShellターミナルを開き、マルウェアコードをコピー&ペーストしてシステムに貼り付けることで問題を「修正」するよう指示します。ユーザーが自らコードをインストールするため、セキュリティチェックを通過する可能性が高くなります。
これは驚くほど効果的な戦術です。PRODAFTのCatalystプラットフォームによると、TAG-150のCastleLoaderコードは、被害者にマルウェアを自らインストールさせる成功率を28.7%にまで高めています。3月に確認されたように、Booking.comの顧客は、この手法で簡単に騙されてしまうことが分かりました。
攻撃者のネットワーク構成図によると、彼らは高度な国際的活動を行っている。犯罪者は、一部のマルウェア攻撃者がコマンド&コントロールに利用する暗号化通信サービス「Tox Chat」をロシアのISP経由で利用し、オランダにある仮想プライベートサーバーにバックアップデータを置いている。
TAG-150のネットワークはアマチュアではありません。 - クリックして拡大
IBMによると、このグループはMaaS(Malware as a Service)として活動しており、感染したシステムを様々な情報窃取やランサムウェア攻撃を行う事業者に販売している。報告書によると、攻撃の大半はアメリカ国内を標的としているが、その正体を特定するのは困難だという。
「CastleLoader、CastleBot、そして今回のCastleRATなど、独自に開発したと思われる複数のマルウェアファミリーを展開してきた歴史を考えると、TAG-150は近い将来、さらなるマルウェアを開発し、リリースする可能性が高い」と報告書は述べている。
防御策として、Recorded Future は自社のサービスを使用することを推奨していますが、もちろんポート 443 と 7777、そしてもちろんポート 80 で不審なアクティビティを監視することも推奨しています。また、必ずしも既存のプロバイダーを信頼する必要はありません。研究者は、マルウェアが Google Cloud IP アドレスからホストされていることを確認しています。®
