【ダイジェスト】
サイバーセキュリティの研究者たちは、SystemBCという既知のマルウェアファミリーのコマンドアンドコントロール(C2)サーバーに関する新たな情報を明らかにしました。SystemBCは地下市場で購入可能で、マルウェアのインプラント、C2サーバー、PHPで書かれたウェブ管理ポータルが含まれたアーカイブとして提供されています。リスクと財務アドバイザリーのソリューションプロバイダーであるKrollによると、2023年の第2四半期と第3四半期にマルウェアの使用が増加しているとのことです。
SystemBCは2018年に初めて確認され、攻撃者がホストをリモートで制御し、トロイの木馬、Cobalt Strike、ランサムウェアなどの追加ペイロードを配信することを可能にします。また、コア機能に追加モジュールを即座に起動するサポートも備えています。このマルウェアの特徴的な側面は、C2インフラストラクチャへのネットワークトラフィックをマスクするためにSOCKS5プロキシを使用し、侵害後の持続的なアクセスメカニズムとして機能する点です。
SystemBCを購入する顧客には、インプラントの実行可能ファイル、C2サーバー用のWindowsおよびLinuxバイナリ、C2パネルインターフェースをレンダリングするPHPファイルが含まれたインストールパッケージが提供されます。これには、実行する手順とコマンドが英語とロシア語で詳述された指示も含まれています。
C2サーバーの実行ファイルは、C2トラフィックを容易にするために少なくとも3つのTCPポートを開くように設計されており、PHPベースのパネルインターフェースとの間のプロセス間通信(IPC)用に通常ポート4000、および各アクティブインプラント(ボットとも呼ばれる)用に1つずつです。サーバーコンポーネントは、インプラントのプロキシおよびローダーとしての相互作用に関する情報、および被害者に関する詳細を記録するために他の3つのファイルも使用します。
一方、PHPベースのパネルはミニマリストな性質を持ち、任意の時点でアクティブなインプラントのリストを表示します。さらに、被害者のマシン上でシェルコードと任意のファイルを実行するための伝達路として機能します。Krollの研究者によると、「シェルコード機能はリバースシェルに限定されず、ランタイムでインプラントに注入できる完全なリモート機能を持ち、cmd.exeをリバースシェルとして起動するよりも目立たない」とのことです。
この発展は、同社がDarkGate(バージョン5.2.3)という更新されたバージョンのリモートアクセストロイの木馬(RAT)に関する分析を共有したことと同時に行われました。このRATは、攻撃者が被害者のシステムを完全に侵害し、機密データを盗み出し、さらにマルウェアを配布することを可能にします。分析されたDarkGateのバージョンは、プログラムの初期化時に使用されるBase64アルファベットをシャッフルします。セキュリティ研究者のSean Strawによると、「DarkGateはアルファベットの最後の文字をそれより前のランダムな文字と交換し、アルファベットの後ろから前に向かって移動します」とのことです。
Krollは、このカスタムBase64アルファベットに弱点があり、ディスク上の設定とキーロギング出力を簡単にデコードできることを特定しました。これらはアルファベットを使用してエンコードされ、システム上のエクスフィルトレーションフォルダ内に格納されます。Strawは、「この分析により、フォレンジックアナリストはハードウェアIDを最初に特定することなく、設定とキーロガーファイルをデコードできる」と述べています。キーロガーの出力ファイルには、DarkGateによって盗まれたキーストロークが含まれており、これには入力されたパスワード、作成された電子メール、その他の機密情報が含まれることがあります。
このようなサイバーセキュリティの脅威は、企業や個人にとって常に進化し続けるリスクです。攻撃者は新しい手法を開発し、セキュリティ対策を回避するために絶えず工夫を凝らしています。SystemBCやDarkGateのようなマルウェアは、その複雑さと潜在的な被害の大きさを考えると、セキュリティ対策の重要性を改めて認識させられます。最新の脅威に対抗するためには、継続的な監視、分析、そして対策の更新が不可欠です。サイバーセキュリティの専門家や研究者たちの努力によって、これらの脅威に対する理解が深まり、より効果的な防御策を講じることが可能になります。
【ニュース解説】
サイバーセキュリティの研究者たちが、SystemBCというマルウェアのコマンドアンドコントロール(C2)サーバーについての新たな分析情報を公開しました。SystemBCは、攻撃者が被害者のコンピュータを遠隔操作し、追加の悪意あるソフトウェアを配布するために使用されるマルウェアです。このマルウェアは、地下市場で購入可能で、インプラント(感染させるプログラム)、C2サーバー、そしてウェブ管理ポータルが含まれたパッケージとして提供されています。特に、SOCKS5プロキシを利用してネットワークトラフィックを隠蔽することで、侵害後のアクセスを持続させる機能が特徴です。
SystemBCのインストールパッケージには、実行可能ファイルやC2サーバー用のプログラム、C2パネルインターフェースを表示するPHPファイルが含まれており、これらを使って攻撃者は被害者のコンピュータに対する制御を強化します。C2サーバーは複数のTCPポートを開き、インプラントとの通信や管理パネルとのプロセス間通信を行います。また、被害者に関する情報を記録するためのファイルも使用されます。
PHPベースの管理パネルはシンプルながら、アクティブなインプラントのリストを表示し、被害者のマシン上でシェルコードや任意のファイルを実行する機能を持っています。これにより、攻撃者は被害者のコンピュータ上でさらに多くの操作を行うことができます。
さらに、Kroll社はDarkGateという別のリモートアクセストロイの木馬(RAT)の新バージョンについても分析を行いました。このRATは、被害者のシステムを完全にコントロールし、機密データを盗み出し、さらにマルウェアを配布する能力を持っています。DarkGateはBase64アルファベットをカスタマイズして使用しており、これによりキーロギング出力などがエンコードされますが、Kroll社はこのカスタムアルファベットの弱点を特定し、デコードが容易になることを発見しました。
これらの発見は、サイバーセキュリティの専門家がマルウェアの動作をより深く理解し、それに対抗するための手法を開発する上で重要です。企業や個人は、これらの脅威に対して常に警戒し、セキュリティ対策を最新の状態に保つ必要があります。また、マルウェアの検出と対策は、サイバーセキュリティの分野での継続的な研究と進化を必要とします。これらの脅威に対する理解が深まることで、より効果的な防御策を講じることが可能になり、サイバーセキュリティの全体的なレベルを向上させることができます。
from SystemBC Malware's C2 Server Analysis Exposes Payload Delivery Tricks.
