ChaosBotは新しいRustベースのバックドア型マルウェアです。
2025年9月下旬くらいから、このマルウェアの活動が確認されています。
どういったものなのでしょうか。
- 初期アクセスその1:CiscoVPN
ChaosBotは初期アクセスにCiscoVPNを悪用します。
有効なCiscoVPNの資格情報と「serviceaccount」という名前の過剰な権限を持つActiveDirectoryアカウントを使用して、リモートホストにChaosBotペイロード(DLL形式のファイル)をドロップしてWMIコマンドを実行します。
システムの脆弱性の悪用です。 - 初期アクセスその2:フィッシングメール
ChaosBotはもう一つ別の初期アクセスを使います。
フィッシングメールです。
メールの添付としてショートカットファイルを送付し、それを受信者にクリックさせます。
クリックされると、ワンライナーが実行されてChaosBotを取得して起動します。
マルウェアとしての動作と同時に、画面上ではベトナム国家銀行をテーマにしたおとりのPDFを開いてユーザーの注意をそらします。
人の部分の脆弱性の悪用です。 - DiscordがC2チャンネル
ChaosBotはC2と通信して動作するバックドアです。
起動すると脅威アクターの設置したチャンネルにメッセージを送信します。
感染したマルウェアはその環境毎に識別できるように動作し、脅威アクターはその送信者が本当にChaosBotであるのかの確認を行うことのできるやり取りを実施します。
ChaosBotであることが確認されると、その感染端末との専用チャンネルを開きます。
脅威アクターからの指令は#generalチャンネルで送信し、C2の依頼で実行されたコマンド結果のマルウェア側からの送信には個別に開設したチャンネルを使用します。
うまい具合に整理したものです。
一般的なマルウェアの場合は大規模に感染が広がると情報管理も容易ではなくなることも考えられますが、この手法なら混乱することはなさそうです。 - ChaosBotの機能性
ChaosBotには、次のコマンドが実装されています。- shell:PowerShell経由でシェルコマンドを実行する
- scr:スクリーンショットをキャプチャする
- download:被害者のデバイスにファイルをダウンロードする
- upload:Discordチャンネルにファイルをアップロードする
現在もChaosBotの拡張は継続されています。
Windowsに実装されたセキュリティ機能であるEvent Tracing for Windowsを回避する機能や、仮想マシンでの実行を回避する機能が追加されてきていることも確認されています。
脅威アクター側は、マルウェアそのものも、マルウェアの周辺環境も次々に新しい機構を投入していきます。
防御側も、新しい脅威に対応していけるように変化していく必要があるということに思えます。
New Rust Malware “ChaosBot” Uses Discord for Command and Control
https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control
| この記事をシェア |
|
|---|
