CrowdStrike Blog:WIZARD SPIDER と LUNAR SPIDER が連携継続中 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.20(土)

CrowdStrike Blog:WIZARD SPIDER と LUNAR SPIDER が連携継続中

2019年3月17日、CrowdStrike Intelligenceは、新しいBokBot(LUNAR SPIDERが開発・使用)プロキシモジュールTrickBot(WIZARD SPIDERが開発・使用)が連動して使用されていることを確認しました。

国際 海外情報
侵害の痕跡情報
侵害の痕跡情報 全 1 枚 拡大写真
 2019 年 3 月 17 日、CrowdStrike Intelligence は、新しい BokBot( LUNAR SPIDER が開発・使用)プロキシモジュール TrickBot( WIZARD SPIDER が開発・使用)が連動して使用されていることを確認しました。これは、機密情報を盗み取り、不正送金を実行するためのツールが WIZARD SPIDER に付加されている可能性を示しています。このアクティビティは、WIZARD SPIDER と LUNAR SPIDER の強いつながりをさらに裏付ける証拠でもあります。

 WIZARD SPIDER のバンキングマルウェア TrickBot は、shadDll と呼ばれる新しいプロキシモジュールを、sin および tin の接頭辞が付いたグループタグ( gtag )にばらまいています。これらの gtag は、以前のブログでご紹介した通り、LUNAR SPIDER の BokBot(別名 IcedID )マルウェアと関連があることが知られています。

 このモジュールには、BokBot プロキシモジュールと同一の機能が含まれています。新しいプロキシモジュールでは、TrickBot マルウェアの拡張可能なモジュール型フレームワーク内に、BokBot の強力な機能が多数組み込まれています。バイナリコードを解析した結果、shadDll という名前の TrickBot モジュールは、99 % の信頼度でBokBot プロキシモジュールと 81 % 構造が類似していることが明らかになっています。

中間者(Man-in-the-Middle)攻撃

 この新しい TrickBot モジュール shadDll の主な役割は、ネットワーク機能をフックし、不正な SSL 証明書をインストールすることで、感染したホストの Web ブラウザに対し中間者( MITM )攻撃を実行することです。SSL 通信の傍受が可能になると、マルウェアは BokBot のさまざまな構成エントリを利用して Web トラフィックを戦略的にリダイレクトし、コードを挿入し、スクリーンショットを取得するほか、標的となったユーザーの Web 閲覧を操作します。

 shadDll モジュールは、TrickBot モジュールの典型的な特徴を有しています。具体的に言うと、このモジュールは動的リンクライブラリ( DLL )であり、TrickBot によって暗号化された文字列は含まれておらず、TrickBot がエクスポートに使用する標準的な関数 Start、Control、Release が含まれています。shadDll モジュールには、TrickBot によって暗号化された文字列は含まれていませんが、BokBot プロキシモジュールで使用されている、カスタムの XOR 暗号化により難読化された文字列が含まれています。

ハードコードされたDN値

 注目すべきは、次のハードコードされた識別名( DN )値が、BokBot プロキシモジュールが MITM 攻撃の実行で使用する不正な証明書内で検出されたものとまったく同じであることです。

C=US; O=VeriSign, Inc.; OU=VeriSign Trust Network; OU=(c) 2006 VeriSign, Inc. - For authorized use only; CN=VeriSign Class 3 Public Primary Certification Authority - G5

2 つのサイバー犯罪( eCrime )集団のつながりがさらに強固なものに

 今回、WIZARD SPIDER と LUNAR SPIDER の関係に進展が見られたことは、Dyre(別名 Dyreza )と Neverquest の時代から続くこれら 2 つのサイバー犯罪集団のつながりが、さらに強固なものになっていることを示しています。CrowdStrike Intelligence は引き続き、この興味深い連携と相互の統合を監視していきます。TrickBot が現在ばらまいている BokBot プロキシモジュールの詳しい分析は、こちらの補足ブログ記事で紹介しています。

侵害の痕跡情報

その他のリソース

「2019 Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

・すぐに利用できる脅威インテリジェンスがSOCの進化の次のステップである理由について説明した、Falcon Xの自動化された脅威インテリジェンスに関するレポートをお読みください

・CrowdStrike Falconプラットフォームによる包括的なエンドポイント保護については、製品ページをご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアルをお試しください


*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/wizard-spider-lunar-spider-shared-proxy-module/

《Brendon Feeley and Brett Stone-Gross (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  2. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  3. イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

    イオンスクエアメンバーへパスワードリスト型攻撃、10名の個人情報が閲覧された可能性(イオンドットコム)

  4. より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

    より危険な目的に転用可能なAndroidマルウェアを発見(チェック・ポイント)

  5. 「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

    「NOTICE」など取組が奏功か、Mirai関連パケット減少--定点観測レポート(JPCERT/CC)

  6. 複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

    複数のOracle製品に脆弱性、製品の存在確認を含め対応を呼びかけ(JPCERT/CC、IPA)

  7. クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

    クックパッドが「CrowdStrike Falcon プラットフォーム」を採用(CrowdStrike Japan)

  8. 経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

    経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

  9. 大学教員が前職都立高校在籍時に作成したMLへメール送信(明海大学)

    大学教員が前職都立高校在籍時に作成したMLへメール送信(明海大学)

  10. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

ランキングをもっと見る