Astaroth バンキング型トロイの木馬

サイバーセキュリティ研究者らは、バンキング型トロイの木馬「Astaroth」を拡散する新たな攻撃キャンペーンを特定しました。この攻撃キャンペーンは、正規サービスを意図的にフォールバックとして利用し、攻撃を回避しようとしています。攻撃者は、防御側が特定して妨害できる従来のコマンドアンドコントロール（C2）サーバーのみに頼るのではなく、マルウェアの設定データをGitHub上にホスティングし、ステガノグラフィーを用いて画像に埋め込みます。これにより、インフラが乗っ取られたり、無効化されたりした後でも、マルウェアは回復して活動を継続できます。

GitHubとステガノグラフィーがバックアップC2になる仕組み

攻撃者は、GitHubの公開リポジトリにある画像内に設定BLOBを配置します。トロイの木馬が主要なC2サーバーにアクセスできない場合、これらの画像ファイルから更新された設定データを取得します。これにより、よく知られているコードホスティングプラットフォームが、実質的に復元力のあるバックアップ配信チャネルへと変化します。データは画像内に隠されているため、通常のトラフィックやリポジトリに紛れ込み、検出と削除が困難になります。セキュリティチームはMicrosoft所有のプラットフォームと協力して問題のリポジトリを削除し、一時的に攻撃を阻止しましたが、この設計には将来の削除を阻止する明確な意図が見られます。

地理的焦点と過去の活動

Astarothはこれまで、メキシコ、ウルグアイ、アルゼンチン、パラグアイ、チリ、ボリビア、ペルー、エクアドル、コロンビア、ベネズエラ、パナマなど、ラテンアメリカ諸国の広範な地域を標的としてきましたが、現在のキャンペーンは主にブラジルに集中しています。これはAstarothの以前の活動と一致しており、研究者は2024年7月と10月に、フィッシング詐欺を利用して同じマルウェアファミリーを拡散する関連クラスター（PINEAPPLEおよびWater Makaraとして追跡）を報告しています。

感染連鎖

攻撃は通常、DocuSignを装ったリンクを含むフィッシングメッセージから始まります。このリンクは、Windowsショートカット（.lnk）を含むZIPファイルを提供します。このLNKファイルを開くと、難読化されたJavaScriptスタブが起動し、外部でホストされているサーバーから追加のJavaScriptを取得します。取得されたJavaScriptは、複数のハードコードされたサーバーの1つから複数のファイルをダウンロードします。これらのファイルの中には、JavaScriptペイロードによって実行されるAutoItスクリプトが含まれています。AutoItスクリプトはシェルコードを読み込み、実行します。シェルコードはDelphiベースのDLLを読み込みます。このDLLはAstarothペイロードを復号化し、新しく作成されたRegSvc.exeプロセスに挿入することで、展開を完了します。

アスタロトが感染ホストに対して行う行為

AstarothはDelphiで実装されており、ユーザーのウェブアクティビティを監視するように設計されています。特に銀行や暗号通貨関連のウェブサイトへのアクセスに重点が置かれています。アクティブなブラウザウィンドウを毎秒チェックし、標的の銀行または暗号通貨サイトを検出すると、キーボードイベントをフックしてキーストロークをキャプチャし、認証情報を取得します。このトロイの木馬は、Ngrokリバースプロキシトンネルを使用して窃取したデータを攻撃者に送信します。これにより、C2への直接接続が制限されている場合でも、データの窃取が可能になります。

観測対象の例

研究者らは、マルウェアによって監視されていることが確認された一連の銀行および暗号通貨関連のサイトをリストアップした。

• caixa.gov.br
• safra.com.br
• itau.com.br
• bancooriginal.com.br
• santandernet.com.br
• btgpactual.com
• イーサスキャン
• バイナンス
• bitcointrade.com.br
• メタマスク
• foxbit.com.br
• localbitcoins.com

分析対策機能

Astaroth には、数多くの分析回避技術が組み込まれています。仮想化、エミュレーション、デバッグ、そして一般的な分析ツール（QEMU Guest Agent、HookExplorer、IDA Pro、Immunity Debugger、PE Tools、WinDbg、Wireshark など）が環境内で使用されているか調査し、これらのツールが検出された場合は自身を終了します。これらのチェックにより、防御側による動的分析やサンドボックス化が困難になります。

永続性、ジオフェンシング、ロケールチェック

このキャンペーンは、持続性を維持するために、Windowsのスタートアップフォルダにショートカットを作成し、再起動時にAutoItスクリプトを起動することで、マルウェアが自動的に再起動するようにしています。感染チェーンにはジオフェンシングが含まれています。LNKによって取得される最初のURLは地域に基づいてターゲット設定され、マルウェアはシステムロケールも検証します。つまり、英語/米国ロケールに設定されているマシンでは実行されないようにします。これらの安全策により、標的のプロファイルが絞り込まれ、偶発的な感染リスクが低減されます。

運用上の影響

攻撃者はGitHubを悪用してステルス的な設定更新をホストすることで、Astaroth用の軽量で削除困難なバックアップチャネルを作成しました。研究者はMicrosoft所有のプラットフォームと連携し、悪意のあるリポジトリを削除することで、攻撃キャンペーンを一時的に中断させました。正規のサービスをフォールバックとして利用していたことは、C2ハンティングの一環として、防御側がクラウドやコードホスティングプラットフォームの悪用を監視する必要があることを示しています。

まとめ

このキャンペーンは、防御側が考慮すべき2つの傾向を浮き彫りにしています。(1) 脅威アクターは、信頼性の高いサードパーティ製プラットフォームを回復力のあるインフラストラクチャとしてますます利用しています。(2) 最新のマルウェアは、複数のスクリプトとコンパイル済みコンポーネント（JavaScript → AutoIt → シェルコード → Delphi DLL）を融合させ、分析と永続性除去を複雑化しています。GitHubベースの構成フォールバック、標的型ジオフェンシング、強力な分析回避チェック、ブラウザアクティビティ監視の組み合わせにより、Astarothは特に回復力が高く、プライバシーを侵害するバンキング型トロイの木馬となっています。フィッシング詐欺への警戒、GitHubイメージにおける異常なアクティビティの監視、そして多段階の感染経路を検知する堅牢なエンドポイント検出が、感染の検出と阻止の鍵となります。