SleepyDuckの検出回避

SleepyDuckは、リモートアクセストロイです。
このマルウェアはOpen VSX Registryを舞台にして広がりました。
Open VSX Registryは、VSCode extension marketplaceです。
VSCodeはMicrosoftが開発・提供する無料で利用できるコードエディタです。
多くのプログラミング言語に対応し、拡張機能で機能を追加できるため、軽量ながらも高機能な開発環境を構築できます。
このこともあり、多くの開発者に利用されています。
そしてVSCodeとともに、その拡張機能も多くの利用者に利用されます。
人が集まる場所には脅威アクターも注目します。
SleepyDuckを配布する脅威アクターの検出回避の作戦をいくつか見てみましょう。

• とりあえず待つ
  このマルウェアを送り込むことのできる拡張機能は、公開当初は有害な内容を含んでいませんでした。
  ダウンロード数が大きくなってきた時点で新しいバージョンを公開し、その新しいバージョンに有害な機能を実装するという作戦をとりました。
  VSCodeの拡張機能は通常、新しいバージョンが利用可能になると自動的に更新されます。
  VSCodeの設定でこの機能は抑制できますが、標準設定では自動更新されるように設定されています。
  このため、この公開後に悪意ある機構のあるものに更新するという作戦は被害者を増やすのに効率的なものとなっています。
• 環境を判定する
  いろいろなマルウェアにはいろいろな環境判定機能が搭載されています。
  SleepyDuckにもこれが搭載されています。
  SleepyDuckを設置する際に、環境の情報が収集されます。
  収集する情報は、ホスト名、ユーザ名、MACアドレス、タイムゾーンなどのマシン情報です。
  このなかのMACアドレスは、分析サンドボックスを回避するために利用されます。
  多くの分析サンドボックスは実装のしやすさや再利用性の高さなどの関係でVMの形式で構成されます。
  VMには物理的なNICを利用させることも具術的にはできますが多くの場合仮想NICが割り当てられます。
  これをMACアドレスを見ることで判定しようという作戦です。
  攻撃対象は人間が通常利用しているものとなっているため、この判定が意味を成すものとなります。

検出回避以外にも不測の事態に対応することのできる機能も搭載されています。
C2として利用しているドメインが押収されたような場合にでも活動を継続できるように接続先を変更設定できる機能や、緊急コマンド実行機能も搭載しています。

この脅威活動に関連するとみられるいくつかの拡張機能が運営側によって公開が停止されています。
しかしまだほかにも残っていると想定することが必要に思えます。
また同じ脅威アクターによるものでなくても、同じような作戦のモノもすでにあるでしょうし、これからも出てくることでしょう。

この例のようなものを目にすると、ソフトウェアを更新することは危険かもしれないと思う方もいるかもしれません。
このような例はありますが、それでもなお、ソフトウェアの更新は重要で必要なことです。
パッチケイデンスを適切に維持し、自分の身の回りの環境の脆弱性がなるべく少ない状態に維持できるようにし、迫りくる危険に対抗していきましょう。

SleepyDuck malware invades Cursor through Open VSX
https://secureannex.com/blog/sleepyduck-malware/