Tsundere Botは、2025年くらいから確認されているマルウェアです。
最初は一部の脅威アクターによる使用のみが確認されていましたが、その後複数の脅威アクターが使っていることが確認されています。
時間の経過とともに、Tsundere BotはMaaS(Malware as a Service)として提供される状態になっていました。
Tsundere Botの機能はどういったものがあるのでしょうか。
- EtherHiding技術の亜種を使用
このマルウェアはEthereumブロックチェーンからコマンドアンドコントロール(C2)アドレスを取得します。 - WebSocketを使用
このマルウェアはWebSocketを使用してC2と通信します。 - Geofencingにより対象を限定
このマルウェアは動作時にシステムロケールをチェックし、システムがCIS諸国の言語(ロシア語、ウクライナ語、ベラルーシ語、カザフ語など)を使用している場合は終了します。
この範囲だった場合、脅威活動は対象外だという動作です。 - 識別子設定機能
このマルウェアは感染環境の情報を収集しC2に取り出す動作を実施します。
情報を取り出すだけでなく、収集情報からユニークなIDを生成し、それぞれの感染端末を識別できる状態にします。 - コマンド実行機能
任意のJavaScriptコードを実行する機能が搭載されています。 - SOCKSプロキシ機能
このマルウェアはSOCKS5プロキシとして使用することができ、その設定はMaaSで提供される脅威アクター向けの管理パネルで設定することができる状態になっています。
Tsundere Botは、インフォスティーラー型マルウェアとしてその脅威アクター自身が情報の搾取に使用することができるだけでなく、感染端末をボットとして他の脅威アクターに販売するようなことが可能となる仕組みを備えています。
情報を抜かれてイニシャルアクセスブローカーに認証情報を販売されてしまって、例えば最終的にランサムウェア攻撃の被害につながる、ということが心配されますし、ボットとして悪事の片棒をいつの間にか担がされてしまう事態になってしまうかもしれません。
さまざまな機能を提供する脅威アクターが多数存在します。
次々にマルウェアをMaaSで提供する、仮に技術力がなかったとしてもMaaSで入手したマルウェアで認証情報を収集して販売する、買った認証情報と買ったマルウェアを使ってランサムウェア攻撃を展開する、ランサムウェア攻撃の交渉部分を侵害行為を行った脅威アクターに代わって実行する、という感じです。
脅威アクターは、多様化し、多数生まれてきています。
いくら注意してもしすぎることはない、という感じです。
しかしあれですね、どうしてこのマルウェアの名前、ツンデレなんでしょうね。
Can’t stop, won’t stop: TA584 innovates initial access
https://www.proofpoint.com/us/blog/threat-insight/cant-stop-wont-stop-ta584-innovates-initial-access
| この記事をシェア |
|
|---|
