MgBotとMacmaとSuzafk、これらはマルウェアの名称です。
どんなものなのでしょうか。
- MgBot
MgBotはWindows向けのモジュラー型マルウェアです。
いろいろな機能を実現するモジュールを組み込むことができます。
ARPスキャン、HTTPスキャン、実行しているサーバーの種類判別機能(SQL、WebLogic、Redisなど)などの機能を持つネットワークスキャナ、Webブラウザのインフォスティーラー機能、チャット機能のQQのインフォスティーラー機能、ActiveDirectoryのインフォスティーラー機能、パスワードダンプ機能、QQ用のキーロガー、スクリーンショット取得、クリップボード内容の取得、メーラーのアカウント情報取得、マイク機能使用による録音機能、こんなような多彩な機能が利用できます。
最近の活動で、Apache HTTP serverの脆弱性を悪用してこのマルウェアを送り込む動作が観測されています。 - Macma
MacmaはmacOS向けのバックドア型マルウェアです。
2019年から動作が観測されているマルウェアで従来からデバイスフィンガープリンティング、コマンドの実行、画面キャプチャ、キーロギング、オーディオキャプチャ、ファイルのアップロードとダウンロードなどの機能を持っていました。
開発は継続していて、最近のバージョンではここにLinuxのtreeコマンドのように利用できるファイルのリスト機能が追加されたり、デバッグ機能や追加のパラメータ指定機能などが搭載されていました。 - Suzafk
SuzafkはWindows向けのバックドア型マルウェアです。
TCPまたはOneDriveをC2として使用できる多段階の動作ができるバックドアです。
動作すると環境に無害なツールのexeファイルと、それに読み込まれる名称で作られたDLLを環境に取り込みます。
取り込まれたexeが動作するとDLLも読み込まれ、タスクをスケジュール設定し、マルウェアの動作を永続化します。
仮想マシン、サンドボックス、マルウェア分析環境の検出が可能な他の人の公開するコードを含んでいます。
そしてcmd.exeを使ってC2のコマンドを実行し結果をC2に返します。
これらの共通点は何でしょう。
マルウェアが異なっていても同一のC2を使用しているという点が確認されています。
そしてさらに共通するソフトウェアライブラリが利用されていることも確認されました。
これはどういうことでしょう。
これらのマルウェア群は、いずれもDaggerflyと命名されている脅威アクターによるものだと考えられます。
マルウェアの動作にはいろいろな条件が必要になる場合があります。
人の操作を必要とする内容になっていてソーシャルエンジニアリング的に動作させられるものもありますが、これらのマルウェアのように感染時や動作時に脆弱性を悪用するものもあります。
脆弱性に対策できれば完全に安全になるというものではありませんが、適切な脆弱性対策活動は被害にあう可能性を小さくする効能は期待できそうです。
Daggerfly: Espionage Group Makes Major Update to Toolset
https://symantec-enterprise-blogs.security.com/threat-intelligence/daggerfly-espionage-updated-toolset
| この記事をシェア |
|
|---|
表紙.png)
