Ceeloader

ほぼこもセキュリティニュース By Terilogy Worx

Ceeloaderという新しいマルウェアが観測されています。
このマルウェアは、APT29が関連しているとみられています。
APT29といえば、SolarWindsの件が思い出されます。
彼らは高度なマルウェアを送り込んでくる集団といえそうです。

Ceeloaderは、C言語で書かれ、難読化されています。
Ceeloaderは、こんな動きをします。

  • おとりのWindows APIの呼び出しとジャンクコードの大きなブロックを組み合わせて、セキュリティソフトウェアによる検出を回避する
  • 情報搾取に使用するWindows APIの呼び出しは、APIの名前を動的に復号化する難読化されたラッパー関数内に隠している
  • C2への通信にはHTTPを使用し、C2からの応答はCBCモードのAES-256を使用して復号化されている
  • Cobalt Strikeビーコンによってインストールおよび実行されるようになっており、現時点では永続化の機構は含まれていない

マルウェアの構造や動きも複雑ですが、このAPTグループのとる戦略も複雑です。
一つの組織を攻撃する際に、なんらかの認証情報を取得して実施するのですが、その際に、複数のアカウントを取得し、そのそれぞれで別々の機能に使用するのです。
これにより、もしいずれかの活動が露見して防御されてしまったとしても、別のアカウントで進行している攻撃行為は継続できるようにしようというのです。

入ってきてしまったものを見つけて防御することはどんどん困難になってきている感じがします。
実世界のウイルスと同様、水際での防御によって、そもそも問題のあるものが中に入ってこないようにすることが重要なのかもしれません。

参考記事(外部リンク):Russian hacking group uses new stealthy Ceeloader malware
www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。