CloudSEKは1月24日(現地時間)、「No Honour Among Thieves: Uncovering a Trojanized XWorm RAT Builder Propagated by Threat Actors and Disrupting Its Operations|CloudSEK」において、サイバー攻撃者が技術力の低い攻撃者(別名:スクリプトキディ)を標的にマルウェアを配布したと報じた。
-
No Honour Among Thieves: Uncovering a Trojanized XWorm RAT Builder Propagated by Threat Actors and Disrupting Its Operations|CloudSEK
侵害手法
CloudSEKの報告によると、攻撃者は遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「XWorm」を構築するツール(マルウェアビルダー)と称し、複数のGitHubリポジトリやファイル共有サービスを悪用してマルウェアを配布したという。無料で強力なマルウェアを入手できると考えた技術力の低い攻撃者は、それ自体がマルウェアを配布する手段だと認識できずに侵害されたとみられている。
配布されたマルウェアビルダーは仮想環境を検出する機能があり、仮想環境でない場合に侵害する。最終的に配布されたマルウェアには次の機能があるとされる。
- システム情報、アクティブウィンドウ一覧などの窃取
- デスクトップ上の一部ファイルを窃取
- スクリーンショットの窃取
- キーロガー
- Telegram、Discord情報の窃取
- 位置情報の窃取
- Webブラウザ情報(履歴を含む)の窃取
- Webブラウザの起動や終了
- デバイスの電源操作(ログオフ、休止などを含む)
- ブルースクリーン(BSoD: Blue Screen of Death)の誘発
- ファイル操作
- ファイルや任意コマンドの実行
- プロセスの操作
- キーボード操作
- 永続性の確保
- マルウェアのアンインストール
影響と対策
攻撃者にだまされて侵害されたデバイスは18,459台以上と見られる。被害デバイス(攻撃者)の数を国別でみると、上からロシア、米国、インド、ウクライナ、トルコとなっている。
-
侵害された国別デバイスの割合 引用:CloudSEK
このマルウェアには自身をアンインストールする機能があり、研究者はこの機能を用いてマルウェアのアンインストールを試みている。成功の可否は不明だが、コマンド送出中にインターネットに接続していた感染デバイスは、マルウェアを除去できた可能性がある。
今回の攻撃の主な標的はサイバー犯罪者とみられ、同情の余地はない。しかしながら、一般ユーザーが巻き込まれる可能性もあるため、セキュリティ対策を強化して予防することが推奨されている。調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
Windows 10で普及しなかった機能10選
