マルウェアはたくさんの種類があります。
いかにして感染を広げて成果を大きくするかが追及されているものも少なくありません。
これはそのマルウェアが金銭目的の場合の方針になるように思われます。
一方、もう一つ見逃せない動機としてスパイ活動があると考えられます。
こちらは事情が異なります。
ターゲットの組織から情報を取り出すことを目的とする場合、すぐに欲しい情報が入手できるとは限りません。
また時間の経過とともに必要なタイミングでそのときに意味を持つ情報を引き出したいという思いがある場合、長い期間検出されることなく潜伏できるということが重要になるかもしれません。
GoldenJackalと命名されたAPTグループの活動が観測されています。
声明文で示されているわけではありませんので定かではありませんが、GoldenJackalの目的はスパイ活動であると考えられています。
GoldenJackalの名前は現時点では悪名高いものとなっていないように思いますが、それは感染する事例を必要なもののみに絞るなどして活動がなるべく認識されないようにするという方針があるということなのかもしれません。
彼らはオリジナルのマルウェアをいくつか組み合わせて使用することで活動を構成します。
- 活動の開始時期
明確にはわかっていませんが、このAPTは2019年から活動していると考えられています。 - ターゲット
中東と南アジアの政府や外交機関がターゲットとなっています。 - 感染ルート
初期の感染方式は明らかになっていません。
活動期間が長いことから考えるとこれまで何度か初期感染手法を変更しながら活動を継続していると推測されます。
そのなかでわかっているものがいくつかあるのですが、ひとつは偽のアプリケーションインストーラーをダウンロードさせる作戦で、もうひとつは悪意あるコードを含むWORD文書を入手させる作戦です。
どちらも初期感染方式としてはよくある方法です。 - JackalControl
オリジナルのマルウェアの一つです。
このマルウェアはターゲットの操作を目的としたトロイの木馬です。
最近のアクターの選択しているような操作内容がマルウェアに実装されていない形式のものではなく、マルウェアの中に事前定義された一連のコマンドを使用してターゲットマシンをリモート制御します。
実装されている機能は何度も変化してきているのですが、このモジュールにはいくつかの動作モードが用意されています。
Windowsに標準で備わっているプログラムと同じ名前として動作しC2に1回だけ接続してコマンドを受け付けるモード、標準プログラムの名前で動作しC2に定期的に接続してコマンドを受け付けるモード、Windowsのサービスとして継続的に動作するモード、といったものが実装されています。 - JackalSteal
これは名前の示す通り、ファイルを流出させるマルウェアです。
リムーバブルメディアやリモート共有まで含めた各種PATHから目的のファイルを選び出し、それをアーカイブして外部に送信します。
送信前にデータはAESアルゴリズムで暗号化され、GZIPで圧縮されます。 - JackalWorm
USBメモリを媒介にし、挿入先のシステムにJackalControlを感染させるワームです。
自分自身のファイルは非表示属性が設定されます。 - JackalPerInfo
JackalPerInfoはインフォスティーラーです。
感染環境のシステムの情報、保存された資格情報、そしてユーザの実施するWebを通じた活動から情報を抜き取ります。 - JackalScreenWatcher
名前の示す通り、このマルウェアは被害者のデスクトップのスクリーンショットを取得します。
取得した画面情報はC2に送信されます。
ユーザの活動を観測し、動きがあるときには10秒間隔などの時間で何度も画面を保存して取り出します。
このマルウェアは広く活動されているものではないと考えられます。
ファイルのHASHの一致を使って判別する方式による対策は簡単ではない種類の脅威です。
マルウェアのファイルそのものを判定する方式ではない方式で検出して対策することが必要な脅威に思えます。
参考記事(外部リンク):Meet the GoldenJackal APT group. Don’t expect any howls
securelist.com/goldenjackal-apt-group/109677/
この記事をシェア |
---|