ブログ | CTO オフィス

高度な脅威の調査: ロシア発のコレクター・スティーラー型マルウェアの分析


ロシア発祥のマルウェアであるコレクタースティーラーは、エンドユーザーのシステムから機密データを盗み出し、C&C パネルに保存するためにインターネット上で頻繁に使用されています。 この脅威に対する業界の防御を支援するため、F5 の CTO オフィス内の Advanced Threat Research Center of Excellence の Aditya K Sood と Rohit Chaturvedi が、Collector-stealer マルウェアの 360 度分析を提示し、バイナリ分析、その動作、および関連する C&C パネルの設計を含む隠れたアーティファクトを明らかにします。

コレクター・スティーラーは比較的短期間でかなり普及しました。 マルウェアによって盗まれた情報は、通常、悪意のある目的で地下市場を通じて公開されます。 攻撃者は Collector-stealer を使用して主にヨーロッパ諸国を標的にしていますが、米国、中国、カンボジアなどの他の国のユーザーにも影響を与えます。

この分析を通じて明らかになった Collector-stealer のハイライトと興味深い特徴をいくつか紹介します。

  • コレクター・スティーラーは、次のような複数の方法で感染を開始します。
    • 無料ゲームのダウンロードを提供するフィッシングポータルにユーザーを誘導する
    • Windows アクティベーション/クラック ソフトウェア パッケージ
    • 偽のマイナー ウェブ ポータル (仮想通貨ソフトウェア プロバイダー ポータルの類似コンテンツを模倣してドライブバイ ダウンロード攻撃を誘発するウェブ ポータル)
  • コレクター スティーラーは C++ で書かれており、保存されたパスワード、Web データ、Cookie、スクリーンショットなどの重要なデータを盗む目的でユーザーのマシンに感染します。 マルウェア作成者は、研究者を困惑させ、コードをより複雑にするために、コードに難読化技術を使用しました。
     
  • コレクター・スティーラーは、C&C サーバーにデータを送信する前に、Cloudflare DNS リゾルバ IP アドレス 1.1.1.1 に ping を実行して、被害者のマシンのインターネット接続を確認します。 ping 要求が失敗した場合、被害者のマシンから収集されたデータとともに実行可能ファイルが削除され、その後、静かに終了します。 それ以外の場合は、収集したデータを C&C サーバーに送信します。
     
  • Collector-stealer は、収集したデータを送信するために HTTP プロトコルと POST メソッドを使用します。 マルウェアはデータを送信する前にデータをアーカイブ .zip ファイルに圧縮し、それを C&C サーバーに送信します。

Collector-stealer は、幅広いマルウェア機能により、アンダーグラウンド フォーラムで人気を博しました。 多くのユーザーがこのマルウェアの購入に興味を示しており、一部のグループはクラック版の提供を試みています。 ロシアのグループ「Hack_Jopi」は、2018年10月からフォーラムでCollector-stealerを販売しています。

このマルウェアの詳細な分析を記した完全な研究が Virus Bulletin で公開されました。 上記の内容とその他の調査結果を詳しく説明した研究論文は、次のサイトから入手できます。
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

楽しむ!