Charming KittenのBellaCPP ｜ブログ(ほぼこもセキュリティニュース)

Charming Kittenは、いろいろなセキュリティ対策組織で追跡されているAPTグループです。
他の大規模なAPTグループと同じように、使用する戦略を次々に広げ、活動を拡大してきています。
このCharming Kittenが従来から使用していたマルウェアにBellaCiaoというものがあるのですが、これの新しい亜種が観測されています。

BellaCPP
BellaCPPは、C++で作成されたマルウェアです。
解析できている範囲の構造などの様子から、BellaCiaoの亜種であると考えられています。
ファイル形式としてはDLLの体裁になっていて、設置された際にはWindowsのサービスとして動作します。
サービスとして動作するということに関して、BellaCiaoと同じといえます。
BellaCPPとBellaCiaoの相違点
BellaCiaoはその内部にWebシェル機能を含んでいました。
しかし、BellaCPPにはWebシェル機能は実装されていません。
別のモジュールとして実装されているのかもしれません。
また、BellaCiaoはその内部にSSHトンネル機能を含んでいました。
しかし、BellaCPPにはSSHトンネル機能は実装されていません。
こちらも別のモジュールとして実装されていると考えられます。

BellaCPPとBellaCiaoの異なる点を見てきましたが、重要な部分はそういったところではないのかもしれません。
何度も使用されたマルウェアは、時間の経過とともに、やがていくつものセキュリティ対策機構で検出されるようになってきます。
しかし、そういったマルウェアを使って感染済みの環境に、新しいまだ広まっていないマルウェアを設置されてしまうと、どうでしょうか。
BellaCPPとBellaCiaoは、同じ侵害環境で同時に観測されたケースがあったのです。
古いほうのマルウェアは検出されて対策がされるかもしれませんが、新しいほうのマルウェアは侵害環境に残り続けてしまうことになるかもしません。

マルウェア感染の事象が確認された際には、こういったことも考慮に入れて慎重に事後対応を行う必要があると認識する必要がありそうです。