Venom Spiderと呼ばれる脅威アクターは、侵害の各フェーズで使用できる各種マルウェアを取り揃えている脅威アクターです。
そして、Venom Spiderは、それらのマルウェアをMaaS(Malware-as-a-Service)として広く他の脅威アクターに提供しています。
強力なツールを得た脅威アクターは分業の力でさらに大きな被害へと繋がっていきます。
そんなVenom Spider関連の新たなキャンペーンが確認されています。
- RevC2
RevC2はVenom SpiderのMaaSに加えられた新たなマルウェアです。
RevC2は侵害行為の中のペイロード部分(侵害した後の目的行為実施部分)を担うマルウェアです。
RevC2の機能は機密データの取得です。
流れとしては、何らかの初期行為(フィッシングメールや配布サイトでの配布など)→VenomLNK→DecoyImage(の裏でRevC2)←→C2、となっています。
名前から想像できる通り、VenomLNKもVenom Spiderによるマルウェアです。
観測された攻撃事例で使用されたDecoyは、APIのドキュメントファイルでした。
APIの資料をダウンロードしてみていると思ったら、その裏で侵害されていた、という具合です。
RevC2はC2からの操作によって、パスワード取得、シェルコマンド実行、画面保存、cookie取得、侵害環境での別ユーザとしてのコマンド実行、などを実行します。 - Venom Loader と More_eggs lite
Venom Loaderはローダー型マルウェアです。
これを使ったキャンペーンが確認されています。
流れは、暗号資産関連のルアー→VenomLNK→Venom Loader→More_eggs lite←→C2、となっています。
More_eggs liteは、バックドア型マルウェアです。
Venom Loader は、被害者のコンピューター名を使用してペイロードをエンコードし、被害者ごとにカスタマイズされた新しいマルウェアローダーです。
これらのツールはまだ若い状態ですが、今後、侵害のための機能の拡張や検出回避の機構の追加などが継続されていくことが考えられます。
こういったルアーから開始される侵害においては、感染するかどうかは人の部分にかかっています。
注意して注意しすぎるということはないと思っておく必要がありそうです。
Unveiling RevC2 and Venom Loader
https://www.zscaler.com/blogs/security-research/unveiling-revc2-and-venom-loader
| この記事をシェア |
|
|---|
