CRON#TRAPは脅威キャンペーンの名称です。
これはLinuxのVMを悪用する内容になっています。
どんなキャンペーンなのでしょうか。
- 初期感染
始まり方は厳密には解明されていませんが、おそらくフィッシングメールから開始されると考えられます。
いつものように巧妙な文面と添付ファイルを送り付け、それを巧みに開かせようとします。 - ZIPファイル
添付ファイルの形式はいつものようにZIPファイルです。
そして、そのZIPのなかには、「OneAmerica Survey.lnk」というファイル名のLNKファイルと大きなサイズのバイナリを含むフォルダで構成されています。 - LNKからPowershell
LNKを開くと感染活動が活性化されます。
まずはPowershellコマンドが起動され、それがZIPの中身を展開し、攻撃ツールを設置するためのバッチファイルを起動します。 - QEMU仮想マシンの設置
バッチファイルの仕事は、QEMUの仮想マシンの無人インストールです。
内容は攻撃ツール入りのLinuxのVMです。
これまでの他の攻撃で同じようなQEMUのVMが使われる例は観測されていましたが、それらは攻撃者による手動インストールだったと考えられています。
しかし、このキャンペーンでは手間なし簡単な無人インストールに仕上がっています。
ツールがあれば、攻撃者自身に高度なスキルがなくても感染活動を完了させることができそうです。
QEMUそのものは正規の署名が施された通常のツールですので、その実行に際しては、なんら警告は表示されません。
そして、QEMUの実行オプションには「-nographic」パラメータが追加されていますので、起動されたVMはバックグラウンドでサイレントに実行されます。 - ルアー文書
VMを設置したりしますので、それなりに感染環境では攻撃者のための操作が進行しているのですが、被害者の視線も忘れていません。
画面上ではリモートからPNG拡張子の画像ファイルをダウンロードし、それを画面に表示します。
画像には、Internal Server Errorと表示されています。
Surveyを実施しようとしたんだけど、サーバ側の問題か何かで実行できませんでした、という感じなのでしょう。
おとりとしての失敗ですね。 - PivotBox
PivotBoxというカスタムTinyCore Linux VMイメージに、攻撃ツールが仕込まれたものがQEMUで起動されるものになっています。
そして、設置されたPivotBoxはその感染環境で永続化され、感染環境の再起動後も自動的に起動されるように設置されます。
そして、PivotBoxにはSSH鍵が設置されますので、攻撃者は簡単に侵害した環境にアクセスできるようになります。
攻撃者とVMの通信にはHTTPもしくはSSHのトンネルが利用されます。
パソコンは、いろいろな利用方法が実施できるようになっています。
いろいろなツールを設置して利用することができます。
この脅威キャンペーンでは、勝手にVMを起動されて悪用される、というものでした。
パソコンの利用者自身が意識してVMを使っているケースもあると思いますが、VMなんて自分のパソコンの上では利用しないよ、という人も少なくないのではないでしょうか。
そういう人の場合、パソコンのBIOS設定で、そもそもとして仮想化機能を無効化するなどの対策を実施していくことが安全の一つの方法かもしれません。
妥当な設定で利用することが重要ということは言われるようになって長いですが、そういう方向の妥当な設定というのも忘れないようにしたいです。
CRON#TRAP: Emulated Linux Environments as the Latest Tactic in Malware Staging
https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/
| この記事をシェア |
|
|---|
