VS CodeマーケットプレイスにいるMUT-9332

MUT-9332は、脅威アクターにつけられた名称です。
以前からいくつものマルウェアを配布している脅威アクターなのですが、込み入った難読化手法とわかりにくい配布手段を使った活動内容となっています。
どんなことになっているのでしょうか。

• 前提となる侵害環境は開発者
  舞台はVS Codeです。
  VS Codeは、Visual Studio Codeで、Microsoftが開発しているWindows、Linux、macOS、Web用のソースコードエディタです。
  当初はWindows向けの開発環境の一部として始まったものですが、カスタマイズ性が高く、テーマやキーボードショートカット、環境設定を変更できたり、機能を追加する拡張機能をインストールすることができるように拡張されてきており、現在では多くの環境で利用できる人気の無料のコードエディターです。
• 最初のルアーはVS Code拡張機能
  VS Code向けに多くの機能拡張が公開されています。
  これらを効果的に使うことで、開発効率を向上させることができます。
  簡単に作成して公開することができますので、公開されている機能拡張は多数あります。
  こういったもののなかに紛れる形で、侵害活動は開始されます。
• Solidity開発者向け機能拡張的なもの
  今回の事例では、Solidity開発者向けの機能拡張を装ったマルウェアが確認されています。
  ちなみに、Solidityは、Ethereumのブロックチェーン上で動作するプログラム（コントラクト）を記述することができるプログラミング言語です。
  3種の機能拡張型マルウェアが別々の発行者からのものとして公開されていたのですが、侵害のための内容は論理的に同一のものでした。
  いずれも構文スキャンや脆弱性検出などのユーティリティを提供すると謳ったものでしたが、宣伝されている機能に加えて、標的のWindowsシステムから暗号ウォレットの認証情報を盗み出す悪意のあるペイロードを配信する機能が追加されたトロイの木馬でした。
• 込み入った感染フロー
  多段でマルウェアをダウンロードする手法は以前から確認されていますが、この事例のダウンロードフローも多段処理が実施されていました。
  textファイルから別のtextファイルとzipファイルが入手される、そこからさらに2つのtextファイルが入手される、そこからVBSファイルが取得される、VBSファイルが多段URLでexeファイルを取得する、といった具合です。
  これらの多段の経路は単に段数が多いということではなく、冗長内容になっています。
  経路が冗長化されることで、検出の回避を狙ったものと考えられます。
• そのままでは動作しないVBS
  感染経路上でVBSが利用されますが、このVBSはそのままでは動作しません。
  コード上には意味をなさない多数の文字列が挿入されています。
  動作時にはこれらの意味のない文字列を除去して動作可能な状態になるように仕立てられています。
• 回避機構
  このマルウェア活動は、回避のための機構も搭載していました。
  怪しくない動作内容で回避するという方向性ではなく、hostsファイルを改変することでウイルス対策ベンダー、サンドボックス環境、脅威インテリジェンスプロバイダーに関連するドメインへの接続を遮断するという作戦でした。
  そしてさらに、Microsoftのアップデートなどを実施するために必要なアウトバウンド接続をブロックするファイアウォールルールを勝手に設置します。
  このマルウェアに感染した状態のままの場合、ふと気がつくと、最近Windowsの更新が表示されないなぁ、となってしまうことでしょう。

脅威アクターは、次々にこれまでにない方法を追加して侵害を試みます。
今回の例は、一つの例にすぎません。
そして今回発見済みのマルウェアを含む機能拡張はすでにVS Codeマーケットプレイスで入手できなくされていますが、MUT-9332はまた新たな成果物を投入してくることでしょう。
そしてこのような活動を展開する脅威アクターはMUT-9332だけではありません。
人が集まる場所には、善意の人以外も存在します。
気をつけて気をつけすぎるということはなさそうです。

The obfuscation game: MUT-9332 targets Solidity developers via malicious VS Code extensions
https://securitylabs.datadoghq.com/articles/mut-9332-malicious-solidity-vscode-extensions/