BLOG | OFFICE OF THE CTO

Advanced Threat Research:ロシアを起源とするCollector-stealerマルウェアを解析する


Collector-stealerはロシアを起源とするマルウェアで、エンドユーザーのシステムから機密データを抜き取りC&Cパネルに保存するためにインターネット上で多用されています。この脅威への対策に追われる業界を支援するため、F5のOffice of the CTO内にあるAdvanced Threat Research Center of ExcellenceのAditya K SoodとRohit Chaturvediは、Collector-stealerマルウェアを徹底分析し、バイナリ分析、動作、関連するC&Cパネルの設計など、未知のアーティファクトを明らかにしました。

Collector-stealerは、比較的短期間でかなり拡散しています。このマルウェアによって盗まれた情報は通常、不正な目的のために闇市場で利用されます。Collector-stealerを利用する攻撃者は主にヨーロッパの国々を標的としていますが、米国、中国、カンボジアなど他の国々のユーザーにも影響を与えています。

今回の分析で明らかになったCollector-stealerの注目点や特筆すべき特徴をいくつかご紹介します。

  • Collector-stealerは、以下のような複数の方法で感染を開始します。
    • ゲームを無料でダウンロードできるフィッシング ポータルにユーザーを誘い込む
    • Windowsアクティベーション/クラック ソフトウェア パッケージ
    • 偽のマイナー向けWebポータル(ドライブバイ ダウンロード攻撃を誘発するために、暗号通貨ソフトウェア プロバイダのポータルの類似のコンテンツを模倣したWebポータル)
  • Collector stealerはC++で記述されており、保存されているパスワード、Webデータ、Cookie、スクリーンショットなどの重要なデータを盗むことを目的としてユーザーのマシンに感染します。マルウェアの作成者は、研究者を挫折させ、コードをより複雑にするために、コードに難読化技術を使用します。
     
  • Collector-stealerは、C&Cサーバーにデータを送信する前にCloudflare DNSリゾルバのIPアドレス1.1.1.1にpingを送信して、攻撃対象のマシンのインターネット接続を確認します。pingリクエストが失敗すると、実行ファイルと収集したデータを攻撃対象のマシンから削除し、ひそかに終了します。成功した場合は、収集したデータをC&Cサーバーに送信します。
     
  • Collector-stealerは、収集したデータの送信にHTTPプロトコルとPOSTメソッドを使用します。データを送信する前に、マルウェアはデータをアーカイブ.zipファイルに圧縮し、C&Cサーバーに送信します。

Collector-stealerは、幅広いマルウェア機能を備えているため闇フォーラムで人気がありました。多くのユーザーがこのマルウェアの購入に興味を示し、一部のグループがクラック版を提供しようとしていることが確認されています。ロシアのグループ「Hack_Jopi」は、2018年10月からCollector-stealerを複数のフォーラムで販売しています。

このマルウェアの分析の詳細を記した調査結果の全文は、Virus Bulletinで公開されています。上記およびその他の調査結果をまとめた研究論文については、以下をご覧ください。
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

Enjoy!