RiseProの新しい攻撃キャンペーン

ほぼこもセキュリティニュース By Terilogy Worx

RiseProはインフォスティーラー型マルウェアです。
これは新しいマルウェアではないのですが、新しい攻撃キャンペーンで、これまでとは異なる形で展開されていました。
どのような動きだったのでしょうか。

  • 無料で利用できる
    クラックされた有償のソフトウェアを無料で入手できるということの謳われているリポジトリが多く作られました。
    作られていた場所はGithubでした。
    この事象の判明した際には、少なくとも13個のリポジトリが同じ形式で構成された状態で発見されました。
    そして、内容にクラックしたソフトウェアのダウンロードへのリンクを含むのですが、そのリンクはどれも同じものでした。

     

  • 1段目のインストーラーファイル
    ファイルサイズは699MBでした。
    クラックしたソフトウェアを配布しようというのですから、ある程度の大きさになっても怪しさが増えることはないかもしれません。
    そして、セキュリティ研究者やマルウェア分析者がよく利用しているIDAやResourceHackerなどのツールが利用できないようになっていました。
    サイズが大きすぎるのです。
    この大きなファイルは圧縮されても大きいままのサイズを保つことができるように作られていましたが、内容は圧縮しても小さくなりすぎない工夫がされた意味のないデータが多く含まれていました。
    意味のない部分を削除した後のサイズは、なんと3.43MBでした。

     

  • 2段目の内容
    大きなファイルから出てきたものは、難読化が実施されたローダーでした。
    .NETファイルとして作られています。
    このローダーは動作を開始するとC2に接続し、環境で動作しているプログラムにマルウェアを注入しました。

     

  • 注入されたRisePro
    ローダーが注入したペイロードはRiseProでした。
    RiseProはインフォスティーラーです。
    2024年3月13日時点でこのRiseProは1.6というバージョンが最新のものなのですが、この攻撃キャンペーンではこの最新の1.6が展開されるようになっていました。
    RiseProは感染したシステムからパスワード情報などの機密データを収集します。
    そして、このマルウェアは、収集したデータを2つのTelegramチャネルに流出させます。

クラック版ソフトウェアを入手しようとしたら自分のパスワード情報を持っていかれてしまった、というお話でした。

参考記事(外部リンク):RisePro stealer targets Github users in “gitgub” campaign
www.gdatasoftware.com/blog/2024/03/37885-risepro-stealer-campaign-github

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。