FireEye、企業に侵入する高難読化バックドア「LATENTBOT」を発見

December 22, 2015 17:30

by 『Security Affairs』

FireEyeの専門家が、LATENTBOTというバックドアを使用したステルス型ボットネットが各地の企業に侵入しているということを発見した。

FireEyeの専門家が、「LATENTBOT」というバックドアを使用したステルス型ボットネットが各地域の企業に侵入していることを発見した。FireEyeによると、LATENTBOTは2013年から検知されずに存在し、2015年には米国や英国、韓国、ブラジル、アラブ首長国連邦、シンガポール、カナダ、ペルー、ポーランドのコンピューターが感染した。

「FireEyeは最近、高難読化された新しいボットLATENTBOTが2013年半ばから出回っていることを発見した。LATENTBOTはインターネット上にほとんど足跡を残しておらず、全く気付かれずに被害者を監視する能力を持つ。またハードディスクを損傷することもできるため、パソコンを使用不能にすることもできる」とFireEyeが発行したレポートには記載されている。

専門家は複数の業界を狙ったキャンペーンを多数観測しているが、攻撃者は金融サービスと保険業界に焦点を当てているようだ。

LATENTBOTの詳細を見てみよう。6段階の難読化プロセスが実装されていることや、完全にメモリ上で動作すること（LATENTBOTは標的を感染させるのに必要な短い時間のみコードをメモリに置く）、そして単一の転送メカニズムを実装しているということを専門家は発見した。

以下、LATENBOTが実装する機能のリストだ。

a) 複数の難読化レイヤー

b) メモリ内で復号された文字列は使用後に削除される

c) 他のデスクトップにアプリケーションを隠す

d) MBR消去機能

e) デスクトップをロックできるといったランサムロックに類似した機能

f) 隠されたVNC接続

g) 被害者のマシンのアップデートを容易にするためのモジュールデザイン

h) ステルス性。コールバックトラフィックやAPI、レジストリキー、その他のインジケーターは動的に復号される

i) 情報を窃取するためのモジュールとしてPonyマルウェアをドロップする

LATENTBOTは、マルウェアプラグイン「Pony stealer 2.0」を通じて暗号通貨のウォレットをスキャンすることができ、カスタム化された暗号アルゴリズムを使用してコマンドアンドコントロール（C2）通信を保護する。

「（LATENTBOTは）複数の業界で観測されているが、Windowsシステムのタイプを選んで感染している。例えばWindows VistaやServer 2008では動作しない。またLATENTBOTは、ハッキングされたWebサイトをC&Cインフラとして使用することで、感染を容易にし、検知されにくいようにしている」

研究者は、LATENTBOTがノートPCで動作している場合、システムがスリープモードに入ることを防ぐためにGetSystemPowerStatusにより電源の状態を問い合わせ、SetThreadExecutionStateを呼び出すことを発見した。

攻撃者は攻撃経路として電子メールを悪用する。彼らはMicrosoft Word Intruder (MWI)エクスプロイトキットを使用して作成された、古いWordの脆弱性が入った悪意のあるメッセージを使用しているのだ。被害者がこの文書を開くと組み込まれていた悪意のある実行ファイルが動作し、C&Cサーバーに接続して攻撃キャンペーンへの追従と、第2段階のバイナリのダウンロードを行う。このバイナリはLuminosityLink RAと判明した。

「我々が解析している最中に、Word文書がLuminosityLinkを第2段階のバイナリとしてダウンロードした。LuminosityLinkはフル機能のRATで、パスワードの窃取、キーストロークの記録、ファイル転送、マイクやWebカメラの有効化ができる」

「LuminosityLinkは、感染したマシンを完璧にコントロールする機能を多数備えたRATだ。ゆえに、emenike[.]no-ip.info （180.74.89.183）にあるセカンダリC2から他のペイロードをダウンロードするのは驚きだ」とFireEyeは詳述している。この新しいモジュールがLATENTBOTだ。

FireEyeのレポートでは、このバックドアの詳細が解説されている。

翻訳：編集部

原文：LATENTBOT, one the highly obfuscated backdoor in the wild

※本記事は『Security Affairs』の許諾のもと日本向けに翻訳・編集したものです