DiceyFは東南アジアのオンラインカジノやその他の被害者を何年も標的としてきたAPTです。
その彼らが最近はオンラインカジノの開発および運用環境を対象としたキャンペーンを展開していることが観測されています。
カジノ関連ではあるのですが活動から推測するとこの活動は直接的なカジノからの金銭的利益を狙っているようには見えず、代わりにステルスなサイバースパイ活動と知的財産の窃盗を行っていると推測されます。
- 攻撃者の属性の予測
中国に関連する攻撃者が含まれていると考えられています。 - 初期感染方法
セキュリティソリューションコントロールセンターを通じて展開されるインストールパッケージを介して攻撃フレームワークが配布されます。 - 攻撃フレームワーク
C++マルウェアであるPuppetLoaderをC#で書き直したものを使っています。
これはGamePlayerFrameworkと呼ばれます。
このフレームワークにはペイロードダウンローダー、マルウェアランチャー、プラグイン、リモートアクセスモジュール、キーロガー、クリップボードスティーラーなどが含まれます。
C#で書かれているので配布形式はバイナリとなります。
64ビットの.NET <xn--u9j7ipa6b.net>
ファイルとして配布されていたり、32ビットの実行可能ファイルやDLLの形式で配布されていたりします。 - プラグイン機能
フレームワークにはプラグイン機能が搭載されています。
いろいろな機能が搭載されており、システム情報収集、プロセスの隠蔽、SSH、ポートフォワーディング、画面転送、Chromeのcookie取得、Firefoxのcookie取得などの機能が実現されています。 - デジタル証明書
APTは活動に関連して実際の開発現場で使用されている正規のデジタル証明書を盗み出していると考えられます。
この盗み出したデジタル証明書を使って署名したPlugXインストーラーや、同じデジタル証明書で署名されたPlugXのC2と同じドメインにコールバックする.Netコードが観測されています。
このマルウェアは配布される際に情報システム部門のフロアに関する情報を示すなどのソーシャルエンジニアリング手法を使用しています。
展開されるバイナリファイルも正規のデジタル署名がなされています。
どういったものだから信頼するのか、どういったものを信頼しないのか、考えさせられます。
参考記事(外部リンク):DiceyF deploys GamePlayerFramework in online casino
development studio
securelist.com/diceyf-deploys-gameplayerframework-in-online-casino-development-studio/107723/
| この記事をシェア |
|
|---|
