ハッカーがPastebinを使ってワームを拡散

June 21, 2017 08:00

by 『Security Affairs』

Vicswors Baghdadというオンライン名のハッカーがPastebin（ペーストビン）のサイトでのマルウェアHoudininoの拡散に関与している。Recorded Futureの専門家によると、その攻撃者と同一の人物が「MoWare H.F.D」というオープンソースのランサムウェア亜種の作成者でもあるようだ。

Recorded Futureの専門家は、Pastebinへの悪意のあるスクリプトの投稿に、2016年の8月と10月、2017年3月の3度、明らかなスパイク（突発的増加）があることに気づいた。

スクリプトの大部分がHoudiniを拡散するために使用されている。Houdiniは2013年に初めて登場し、2016年にアップデートされた脅威だ。

「2017年3月初旬、Pastebinに投稿された悪意のあるVBScriptの増加に我々は気付き始めた。これらのVBScripts のほとんどがHoudiniのようだ。Houdiniは、2013年に初めて出現したVBScriptのワームで、2016年にアップデートされている」とRecorded Futureが公開した解析レポートで説明されている。

「このHoudini VBScriptを再利用する人物は、新たなコマンド&コントロールサーバーでアップデートし続けている。我々は検索基準を詳細に定義してHoudini スクリプトをより分け、2016年8月と10月、今年3月の３つの明確なスパイクを特定した」

Recorded Futureはペーストビンのサイトで悪意ある投稿を213件見つけた。これには105件のサブドメインが絡んでいた。また専門家らは190のハッシュも見つけている。

そのドメインやサブドメインはDynamicDNSプロバイダーのものだったが、攻撃者がゲストアカウントを使用してHoudiniワームのVBScriptを公開していたため、特定は不可能だった。

しかし専門家は、「microsofit[.]net（※編注：「soft」ではなく「sofit）」というドメインの登録者名の特定に成功した。その登録者名は「Mohammed Raad」というもので、国情報は「ドイツ」、連絡先メールアドレスは「vicsworsbaghdad@gmail.com」だった。

研究者が上記の情報をGoogleで検索したところ、同じ情報を使用しているFacebookのプロフィールを発見した。そのプロフィールによるとMohammed Raad はAnonymousのドイツの組織のメンバーで、Vicswors Baghdadという別名を使っているようだ。

さらに研究者らは、FacebookのプロフィールでMoWare H.F.Dに関する最近の会話が見られることにも明らかにした。

「『MoWare H.F.D』というオープンソースのランサムウェアに関する最近の会話がFacebookのプロフィールに表示される。彼らはランサムウェアの研究やテスト、そして恐らく設定も行っているようだ」と解析レポートは続ける。

「『vicsworsbaghdad』のFacebookプロフィールに投稿されたスクリーンショットのさらなる調査にて、彼が設定しているランサムウェアは、作成者のYouTubeの動画にコメントすることで入手できるオープンソース版であることに我々は気付いた。『Vicswors Baghdad』というアカウントが、ダウンロードするファイルはどこで見つけられるのかコメントで尋ねている。これに対して開発者は、プライベートメッセージを送ると返信している。『Vicswors Baghdad』というアカウントは、microsofit[.]net.の登録と同じメール『vicsworsbaghdad@gmail.com』を用いている」

攻撃者のプロフィール等の詳細については、Recorded Futureが公開した記事で確認することができる。



翻訳：編集部

原文：Experts tracked a German hacker behind the spreading of Houdini Worm on Pastebin

※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。