CrowdStrike Blog:WIZARD SPIDER と LUNAR SPIDER が連携継続中 | ScanNetSecurity
2021.10.25(月)

CrowdStrike Blog:WIZARD SPIDER と LUNAR SPIDER が連携継続中

2019年3月17日、CrowdStrike Intelligenceは、新しいBokBot(LUNAR SPIDERが開発・使用)プロキシモジュールTrickBot(WIZARD SPIDERが開発・使用)が連動して使用されていることを確認しました。

国際 海外情報
侵害の痕跡情報
侵害の痕跡情報 全 1 枚 拡大写真
 2019 年 3 月 17 日、CrowdStrike Intelligence は、新しい BokBot( LUNAR SPIDER が開発・使用)プロキシモジュール TrickBot( WIZARD SPIDER が開発・使用)が連動して使用されていることを確認しました。これは、機密情報を盗み取り、不正送金を実行するためのツールが WIZARD SPIDER に付加されている可能性を示しています。このアクティビティは、WIZARD SPIDER と LUNAR SPIDER の強いつながりをさらに裏付ける証拠でもあります。

 WIZARD SPIDER のバンキングマルウェア TrickBot は、shadDll と呼ばれる新しいプロキシモジュールを、sin および tin の接頭辞が付いたグループタグ( gtag )にばらまいています。これらの gtag は、以前のブログでご紹介した通り、LUNAR SPIDER の BokBot(別名 IcedID )マルウェアと関連があることが知られています。

 このモジュールには、BokBot プロキシモジュールと同一の機能が含まれています。新しいプロキシモジュールでは、TrickBot マルウェアの拡張可能なモジュール型フレームワーク内に、BokBot の強力な機能が多数組み込まれています。バイナリコードを解析した結果、shadDll という名前の TrickBot モジュールは、99 % の信頼度でBokBot プロキシモジュールと 81 % 構造が類似していることが明らかになっています。

中間者(Man-in-the-Middle)攻撃

 この新しい TrickBot モジュール shadDll の主な役割は、ネットワーク機能をフックし、不正な SSL 証明書をインストールすることで、感染したホストの Web ブラウザに対し中間者( MITM )攻撃を実行することです。SSL 通信の傍受が可能になると、マルウェアは BokBot のさまざまな構成エントリを利用して Web トラフィックを戦略的にリダイレクトし、コードを挿入し、スクリーンショットを取得するほか、標的となったユーザーの Web 閲覧を操作します。

 shadDll モジュールは、TrickBot モジュールの典型的な特徴を有しています。具体的に言うと、このモジュールは動的リンクライブラリ( DLL )であり、TrickBot によって暗号化された文字列は含まれておらず、TrickBot がエクスポートに使用する標準的な関数 Start、Control、Release が含まれています。shadDll モジュールには、TrickBot によって暗号化された文字列は含まれていませんが、BokBot プロキシモジュールで使用されている、カスタムの XOR 暗号化により難読化された文字列が含まれています。

ハードコードされたDN値

 注目すべきは、次のハードコードされた識別名( DN )値が、BokBot プロキシモジュールが MITM 攻撃の実行で使用する不正な証明書内で検出されたものとまったく同じであることです。

C=US; O=VeriSign, Inc.; OU=VeriSign Trust Network; OU=(c) 2006 VeriSign, Inc. - For authorized use only; CN=VeriSign Class 3 Public Primary Certification Authority - G5

2 つのサイバー犯罪( eCrime )集団のつながりがさらに強固なものに

 今回、WIZARD SPIDER と LUNAR SPIDER の関係に進展が見られたことは、Dyre(別名 Dyreza )と Neverquest の時代から続くこれら 2 つのサイバー犯罪集団のつながりが、さらに強固なものになっていることを示しています。CrowdStrike Intelligence は引き続き、この興味深い連携と相互の統合を監視していきます。TrickBot が現在ばらまいている BokBot プロキシモジュールの詳しい分析は、こちらの補足ブログ記事で紹介しています。

侵害の痕跡情報

その他のリソース

「2019 Global Threat Report:Adversary Tradecraft and the Importance of Speed」をダウンロードしてご覧ください

・すぐに利用できる脅威インテリジェンスがSOCの進化の次のステップである理由について説明した、Falcon Xの自動化された脅威インテリジェンスに関するレポートをお読みください

・CrowdStrike Falconプラットフォームによる包括的なエンドポイント保護については、製品ページをご覧ください

・CrowdStrikeの次世代アンチウイルス(AV)を実際にお試しいただけます。今すぐFalcon Preventの無料トライアルをお試しください


*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/wizard-spider-lunar-spider-shared-proxy-module/

《Brendon Feeley and Brett Stone-Gross (CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  2. 埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

    埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

  3. proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

    proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

  4. 群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

    群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

  5. ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

    ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

  6. PureSecureが不適切なパスワード保存テクニックを露呈

    PureSecureが不適切なパスワード保存テクニックを露呈

  7. 複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大

    複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大

  8. 東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

    東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

  9. ペット用品取扱い「アルファアイコンオフィシャルショップサイト」に不正アクセス、1週間で発覚

    ペット用品取扱い「アルファアイコンオフィシャルショップサイト」に不正アクセス、1週間で発覚

  10. 徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

    徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

ランキングをもっと見る