「MiniDuke」というバックドアは、NATOや欧州の政府機関に対する一連の攻撃の中で発見され、2013年2月に特定された。我々が2014年4月に行ったMiniDukeの分析中、MiniDukeの第3段階で用いられているローダーと同じものを別のマルウェアファミリーが使用していたことを突き止めた。そのマルウェアとは、情報窃盗を行うCusmuファミリーの一部であり、何年か前から存在する。
何がMiniDukeへと結びつけたのだろうか。この点は興味深いが、コンパイル時のタイムスタンプによれば、共通のローダーを先に使っていたのはMiniDukeではなくCosmuなのだ。さらに、このローダーはある時点でアップデートされたことを確認したが、両マルウェアファミリーともアップデートされたローダーを採用していたのだ。CosmuはMiniDukeとコードを共有することが分かった初めてのマルウェアなので、MiniDuke由来のローダーとCosmu由来のペイロードが融合したことを示すサンプルに、我々はCosmicDukeと名付けることにした。.
(写真:NASAアポロ16号月着陸船パイロットCharles M. Duke)
CosmicDukeの攻撃ファイルで犠牲者を誘い込むために使われているファイル名やコンテンツには、ウクライナ、ポーランド、トルコ、ロシアといった国々を示唆するものが含まれている。一般には言語を使用していたり、または行事や団体を明に暗に示している。選ばれたファイル名やコンテンツは標的の興味に合わせているように見受けられる。もっとも、我々はその犠牲者のアイデンティティや場所について、いまだに他の情報は持ち合わせていないのだが。
CosmicDukeの感染は、標的を騙して、エクスプロイトを含むPDFファイルを開かせるところから始まる。もしくはドキュメントファイルか画像ファイルのように見えるように操作されたファイル名を持つ、Windowsの実行ファイルだ。ユーザに囮ドキュメントを表示するサンプルもある。以下のファイルにはUkraine-Gas-Pipelines-Security-Report-March-2014.pdfという名前が付けられている。
少々変わったタイプの囮を以下に示す。ロシアの領収書だ。この画像ファイルの興味深い点は、EXIFのメタデータを持つところだ。写真がいつ撮影されたのかや、写真を撮るために使用された携帯電話のモデルが含まれている。
標的がこの悪意のあるファイルを開くと、CosmicDukeはシステム上に存在するようになり、情報の収集を始める。データ収集コンポーネントには、キーロガー、クリップボード・スチーラー、スクリーンキャプチャ、そして各種の人気チャット・メール・Webブラウザのパスワード・スチーラーが挙げられる。またCosmicDukeはシステム上のファイルに関する情報も収集し、暗号用の証明書と関連する秘密鍵をエクスポートする機能も持つ。
いったん情報が収集されると、FTPでリモートサーバに送出される。CosmicDukeはシステムから情報を盗み出すのに加えて、攻撃者がシステムに別のマルウェアをダウンロードして実行できるようにもする。
エフセキュアは既知のCosmicDukeのサンプルで使われている、さまざまな悪意のあるコンポーネントをすべて検出する。
技術的な詳細について知りたい場合には、当社のCosmicDukeの分析レポートを参照してほしい。
Post by — Timo
何がMiniDukeへと結びつけたのだろうか。この点は興味深いが、コンパイル時のタイムスタンプによれば、共通のローダーを先に使っていたのはMiniDukeではなくCosmuなのだ。さらに、このローダーはある時点でアップデートされたことを確認したが、両マルウェアファミリーともアップデートされたローダーを採用していたのだ。CosmuはMiniDukeとコードを共有することが分かった初めてのマルウェアなので、MiniDuke由来のローダーとCosmu由来のペイロードが融合したことを示すサンプルに、我々はCosmicDukeと名付けることにした。.
(写真:NASAアポロ16号月着陸船パイロットCharles M. Duke)
CosmicDukeの攻撃ファイルで犠牲者を誘い込むために使われているファイル名やコンテンツには、ウクライナ、ポーランド、トルコ、ロシアといった国々を示唆するものが含まれている。一般には言語を使用していたり、または行事や団体を明に暗に示している。選ばれたファイル名やコンテンツは標的の興味に合わせているように見受けられる。もっとも、我々はその犠牲者のアイデンティティや場所について、いまだに他の情報は持ち合わせていないのだが。
CosmicDukeの感染は、標的を騙して、エクスプロイトを含むPDFファイルを開かせるところから始まる。もしくはドキュメントファイルか画像ファイルのように見えるように操作されたファイル名を持つ、Windowsの実行ファイルだ。ユーザに囮ドキュメントを表示するサンプルもある。以下のファイルにはUkraine-Gas-Pipelines-Security-Report-March-2014.pdfという名前が付けられている。
少々変わったタイプの囮を以下に示す。ロシアの領収書だ。この画像ファイルの興味深い点は、EXIFのメタデータを持つところだ。写真がいつ撮影されたのかや、写真を撮るために使用された携帯電話のモデルが含まれている。
標的がこの悪意のあるファイルを開くと、CosmicDukeはシステム上に存在するようになり、情報の収集を始める。データ収集コンポーネントには、キーロガー、クリップボード・スチーラー、スクリーンキャプチャ、そして各種の人気チャット・メール・Webブラウザのパスワード・スチーラーが挙げられる。またCosmicDukeはシステム上のファイルに関する情報も収集し、暗号用の証明書と関連する秘密鍵をエクスポートする機能も持つ。
いったん情報が収集されると、FTPでリモートサーバに送出される。CosmicDukeはシステムから情報を盗み出すのに加えて、攻撃者がシステムに別のマルウェアをダウンロードして実行できるようにもする。
エフセキュアは既知のCosmicDukeのサンプルで使われている、さまざまな悪意のあるコンポーネントをすべて検出する。
技術的な詳細について知りたい場合には、当社のCosmicDukeの分析レポートを参照してほしい。
Post by — Timo
