GopherWhisperは新たに命名された脅威アクターです。
活動そのものは新しいものではなくかなり以前からあったことが確認されています。
現時点ではその活動は2023年にはすでに始まっていましたとみられています。
このGopherWhisper、活動期間が長いこともあり、実に多彩なツールを駆使します。
いくつか見てみましょう。
- JabGopher
whisper.dllを装ったLaxGopherバックドアを実行するインジェクターです。
svchost.exeの新しいインスタンスを作成し、LaxGopherをsvchost.exeプロセスのメモリに注入します。 - LaxGopher
Go言語で記述されたバックドアで、プライベートSlackサーバと連携してC&Cメッセージを取得します。
cmd.exeを介してコマンドを実行し、その結果をコードに設定されたSlackチャンネルに送信します。
LaxGopherは、侵害された環境にさらに追加でマルウェアをダウンロードする可能性もあります。 - CompactGopher
Go言語で書かれたファイル収集ツールで、オペレーターがコマンドラインからファイルを素早く圧縮し、ファイル共有サービスfile.ioに自動的に送信するために使用します。
LaxGopherが使用するペイロードの一つです。 - RatGopher
Go言語で記述されたバックドアで、脅威アクターが設置しているプライベートなDiscordサーバと連携してC&Cメッセージを取得します。
コマンドの実行が成功すると、その結果は設定済みのDiscordチャンネルに公開されます。 - SSLORDoor
C++で構築されたバックドアで、ポート443の生ソケットを介してOpenSSL BIOを使用して通信します。
存在するドライブのドライブレターを列挙し、C&Cからの入力に基づいてコマンドを実行できます。
主なコマンドは、ファイルのオープン、読み取り、書き込み、削除、アップロードに関するものです。 - FriendDelivery
BoxOfFriendsバックドアを実行するローダーおよびインジェクターとして機能する悪意のあるDLLファイルです。 - BoxOfFriends
Go言語で書かれたバックドアで、Microsoft GraphのMicrosoft 365 OutlookメールREST APIを利用して、C&C通信用の下書きメールメッセージを作成および変更します。
この脅威アクターはツールの特徴から見てもわかるように、正規のサービスをC&C通信として利用する作戦を展開しています。
わかっているIoCは、マルウェアのHASH情報とSSLORDoorの現在のIPアドレスくらいしかありません。
ファイヤーウォール的な通信制御だけでは対抗することは難しいでしょう。
現在確認されている被害対象地域はモンゴルですが、その他の地域に対しても活動が展開されているとみられます。
私たちには、なにができるでしょうか。
GopherWhisper: A burrow full of malware
https://www.welivesecurity.com/en/eset-research/gopherwhisper-burrow-full-malware/
| この記事をシェア |
|
|---|
