Backdoor.Pterodo

ほぼこもセキュリティニュース By Terilogy Worx

Shuckwormが使っているマルウェアにPterodoというものがあります。
このマルウェアは他とは少し異なる戦略が使われているような感じがします。

PterodoというのはBackdoorです。
今回観測されている活動ではこんなことになっています。

  • 感染する
    被害者がフィッシングメールの添付ファイルを開くことから始まります。

     

  • Backdoorをインストールする
    このマルウェアはVisual Basic Script(VBS)ドロッパーです。
    Backdoor.Pterodo.Bと命名されています。
    スケジュールされたタスクを追加することで永続化を実現します。
    1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
    2段目のVBスクリプトは次のマルウェアをダウンロードします。

     

  • Backdoorをインストールする
    このマルウェアもVisual Basic Script(VBS)ドロッパーです。
    Backdoor.Pterodo.Cと命名されています。
    サンドボックスの検出を回避する目的なのか不明ですが、意味のない複数のAPI呼び出しを行います。
    1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
    2段目のVBスクリプトは次のマルウェアをダウンロードします。
    さっきと同じ流れです。

     

  • Backdoorをインストールする
    さらにこのマルウェアもVisual Basic Script(VBS)ドロッパーです。
    Backdoor.Pterodo.Dと命名されています。
    1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
    2段目のVBスクリプトは次のマルウェアをダウンロードします。
    またまたさっきと同じ流れです。

     

  • Backdoorをインストールする
    さらにさらにこのマルウェアもVisual Basic Script(VBS)ドロッパーです。
    Backdoor.Pterodo.Eと命名されています。
    意味のないAPI呼び出しを実施します。

この一連の流れで展開されているのはいずれもBackdoorです。
やろうと思えば何でも実行できると思うのですがいまは情報収集が主たる内容です。
Shuckwormは他の活動ではUltraVNCを勝手に侵入先に設置するなどもしています。
ですのでいまは情報収集をやっているだけの段階ということかもしれません。

ここで収集された情報がどこかのタイミングで別の攻撃の開始材料になってしまう感じがします。
こんなにいろいろと活動されてしまっても検出できない組織がターゲットとされることになるというような意味での準備活動なのかもしれません。

参考記事(外部リンク):Shuckworm: Espionage Group Continues Intense Campaign
Against Ukraine

symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。