LilithBot

LilithBot は、MaaS (Malware-as-a-Service) スキームで提供されている一連の脅威的な機能を備えた新しいマルウェアの脅威です。この脅威は、Eternity (EternityTeam、Eternity Project) として追跡されている脅威グループが提供するハッカー ツールの一部です。サイバー犯罪者は少なくとも 2022 年 1 月から活動しており、ロシアの「道化師グループ」とつながっています。 LilithBot とその開発者に関する詳細は、サイバーセキュリティ研究者によるレポートで公開されています。

彼らの調査結果によると、LilithBot は専用の Telegram グループを通じて潜在的なサイバー犯罪者のクライアントに提供されており、Tor ネットワークでホストされている Web サイトにつながるリンクをたどることで購入できます。このサイトは Eternity ハッカーの製品のホームページとして機能し、最も高価なツールはランサムウェアの脅威です。

LilithBot に関して言えば、脅威はボットネットの機能とクリプトマイナー、クリッパー、スティーラーの機能を組み合わせた高度なマルウェアです。インフォセックの研究者は、LilithBot は開発プロセス中に何度か繰り返し、以前のバージョンにあったコマンドは後のリリースで削除されたと指摘しています。ただし、研究者は、脅威アクターが削除された機能を引き続き実行する可能性があると警告していますが、よりステルスな方法で行われます。

感染したシステムでアクティブ化されると、脅威はまず自分自身をボットとして登録します。次に、LilithBot は自身を復号化して、構成ファイルをデバイスにドロップします。このマルウェアは、手動での復号化を防止するために、独自の復号化メカニズムを使用します。この脅威のスティーラー コンポーネントは、ブラウザーの履歴、Cookie、写真などの個人データを含む情報を収集します。取得したファイルは、オペレーションのコマンド アンド コントロール (C2、C&C) サーバーに送信される前に、ZIP アーカイブに追加されます。

LilithBot は、偽の証明書を利用して、検出されない可能性を高めます。ただし、識別された証明書は「Microsoft Code Signing PCA 2011」によって発行されたようですが、適切な検証と副署名がありません。