PyDCryptとStrifeWater RAT

ほぼこもセキュリティニュース By Terilogy Worx

PyDCryptは2021年11月頃から調査されているランサムウェアです。
このPyDCryptの調査はなかなか進みませんでしたが、その全貌が明らかになってきています。

PyDCryptは、名前からも推測できるようにPythonで記述されています。
そしてそのコードをPyInstallerを使ってWindowsで利用できるバイナリにコンパイルします。

このPyDCryptはHASHではなかなかとらえられないものになっているようです。
というのも、このPyDCryptには、ターゲットとされた環境の次のデータを含むようにコードに直に書き込まれたものとなっているからです。

  • 管理者のユーザー名
  • 管理者のパスワード
  • マシンリスト
  • ローカルドメイン

ロジック部分が変化しなくてもハードコーディングされた変数の部分が異なるものとなっていれば、HASHも変わってしまいます。

PyDCryptの当初の調査の際には、PyDCryptの初期感染ルートがなかなか解析が進みませんでした。
これは、StrifeWater RATがその役割を担い、巧妙に設計されたものだったからかもしれません。
StrifeWater RATの機能をみてみるとこのようなものがあることがわかっています。

  • システムファイルの一覧表示機能
  • コマンド実行機能
  • 画面のキャプチャ機能
  • RAT(自分自身)の更新版をダウンロードする機能
  • 追加の拡張機能をダウンロードする機能
  • 永続化機能
    Firefoxという文字列をその一部に含むスケジュールされたタスクを作成し、自分を永続化します。
  • 自分を削除する機能
    ランサムウェアによる暗号化が完了する前に自分を削除し、存在を隠ぺいします。

StrifeWater RATはこれらの機能を駆使し、ターゲット環境の管理者データなどを盗み出し、その情報をもとに個別に作成されたランサムウェアを配置します。

HASHによってマルウェアの活動を検出することはもはや容易ではないのかもしれません。
本来一般ユーザの利用することのないAPIがローカルのパソコン上で使われているというようなことや、システム管理以外で使用されないようなAPIが一般ユーザのパソコンから通信されているというようなことを検出することが必要になってきていると感じます。

マルウェアの巧妙化がとまりません。
防御側も継続的な改善が必要ということかもしれません。

参考記事(外部リンク):StrifeWater RAT: Iranian APT Moses Staff Adds New Trojan to Ransomware Operations
www.cybereason.com/blog/strifewater-rat-iranian-apt-moses-staff-adds-new-trojan-to-ransomware-operations

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。