悪意のあるPidginプラグイン
デジタル環境は絶えず進化しており、インスタント メッセージング アプリケーションは個人および仕事上のコミュニケーションに不可欠なものとなっています。しかし、これらのプラットフォームは脅威アクターの主なターゲットにもなっています。最近のサイバー セキュリティ インシデントにより、広く使用されているメッセージング アプリケーションに潜む危険性が浮き彫りになりました。高度なマルウェア キャンペーンが警戒心のないユーザーを狙っています。この記事では、これらの脅威の増加について、脅威となる Pidgin プラグインと、Signal アプリケーションの侵害されたフォークという 2 つの重要なケースに焦点を当てて説明します。
目次
Pidgin プラグインの侵入
2024 年 8 月 22 日、人気のオープンソース メッセージング アプリケーションである Pidgin は、ScreenShare-OTR (ss-otr) という破損したプラグインが公式のサードパーティ プラグイン リストに侵入したことを明らかにしました。Off-the-Record (OTR) メッセージング プロトコルを介した画面共有ツールとして販売されていたこのプラグインには、不正なコードが含まれていることが判明しました。当初は、ソース コードがなく、ダウンロードできるのはバイナリ ファイルのみだったため、気付かれませんでした。これは、脅威が検知されずに拡散する重大な見落としでした。
脅威となる能力が明らかに
サイバーセキュリティ研究者による徹底的な分析により、ScreenShare-OTR プラグインの本質が明らかになりました。調査の結果、このプラグインはいくつかの悪意のあるアクティビティを実行するように設計されていることが判明しました。
- キーロギング: プラグインはキーストロークを記録し、パスワードやプライベートメッセージなどの機密情報を取得する可能性があります。
- スクリーンショットの共有: プラグインはスクリーンショットを撮って運営者に送信し、機密情報を漏洩する可能性がありました。
- 不正なバイナリのダウンロードと実行: プラグインは犯罪者が管理するサーバーに接続され、PowerShell スクリプトや悪名高いDarkGateマルウェアなどのさらに危険なペイロードをダウンロードして実行します。
プラグインのインストーラーはポーランドの会社に発行された正規の証明書で署名されており、それが本物らしさを装い、セキュリティ対策を回避した可能性が高い。プラグインの Windows 版と Linux 版の両方で同様の悪意のある動作が見られ、この攻撃がクロスプラットフォームの脅威をもたらすことが実証された。
より広範な影響
さらに調査を進めると、危険なペイロードをホストしているサイトが、正規のプラグイン リポジトリを装っていることが判明しました。このサイトでは、OMEMO、Pidgin Paranoia、Window Merge などの他の人気プラグインも提供されており、これらも侵害されている可能性があります。さらに、ScreenShare-OTR プラグインで見つかったのと同じバックドアが、Cradle という「アンチフォレンジック メッセージング ソフトウェア」をうたうアプリケーションでも発見されました。
クレードル:想定される信号分岐点
Cradle は、最も信頼されている安全なメッセージング アプリケーションの 1 つである Signal と関連しているため、より陰険なリスクをはらんでいます。Cradle は Signal のオープン ソース フォークですが、Signal Foundation の支援も提携も受けていません。それにもかかわらず、フォークされたソース コードの一部が GitHub で公開されていたこともあり、ユーザーにその正当性を納得させることに成功しました。
しかし、さらに詳しく調査すると、Cradle は公開されているものとは異なるコードを使用して構築されていることが判明しました。このアプリケーションには、ScreenShare-OTR プラグインと同じ悪意のあるコードが埋め込まれており、DarkGate マルウェアを展開するスクリプトをダウンロードする機能がありました。このマルウェアが Cradle の Windows バージョンと Linux バージョンの両方に存在することは、これらの攻撃によってもたらされるクロスプラットフォームのリスクをさらに強調しています。
ダークゲート: 持続的かつ進化する脅威
DarkGate は、マルウェア エコシステムにおける新しい存在ではありません。2018 年に初めて文書化されて以来、洗練されたマルウェア アズ ア サービス (MaaS) プラットフォームへと進化しています。DarkGate は、次のような幅広い機能を提供します。
- 隠し仮想ネットワークコンピューティング (hVNC)
- リモートコード実行
- 暗号通貨マイニング
- リバースシェルアクセス
このマルウェアは、厳重に管理された配布モデルの下で動作し、一部の顧客のみが利用できます。比較的休眠状態にあった後、DarkGate は 2023 年 9 月にQakbotインフラストラクチャの混乱と停止を受けて猛烈な勢いで再出現しました。この再出現は、いくつかの注目度の高いマルウェア キャンペーンと同時期に発生しており、DarkGate がサイバー犯罪者の間で好まれるツールになったことを示しています。
DarkGate マルウェア: 感染経路と世界への影響
DarkGate の復活は、さまざまなベクトルにわたる広範な配布によって特徴づけられています。2023 年 8 月以降、サイバーセキュリティ研究者は、さまざまな方法を利用して被害者を DarkGate に感染させる多数のキャンペーンを観察しています。
- Teams チャット: 被害者は、Microsoft Teams 経由で送信されたリンクを介して DarkGate インストーラーをダウンロードするように誘導されました。
- 電子メールの添付ファイル: キャビネット (.cab) アーカイブを含む電子メールは、被害者を誘導して安全でないコンテンツをダウンロードさせ、実行させるために使用されました。
世界的な広がりと影響力
これらの攻撃は特定の地域に限定されていません。DarkGate の感染は北米、ヨーロッパ、アジアのかなりの部分で報告されています。このマルウェアはさまざまな配信メカニズムに適応する能力と高度な回避技術を備えているため、世界中のサイバーセキュリティ専門家にとって手強い敵となっています。
2024 年 1 月、DarkGate は 6 番目のメジャー バージョンをリリースし、発見されたサンプルはバージョン 6.1.6 として識別されました。この継続的な開発と改良は、脅威の持続性と、このような攻撃を検出して軽減するための警戒の重要性を強調しています。
結論: 進化する脅威に対する防御の強化
Pidgin および Cradle ユーザーをターゲットにした最近のマルウェア キャンペーンは、サイバー犯罪者が使用する戦術の進化を浮き彫りにしています。一見正当なアプリケーションやプラグインが DarkGate のような高度なマルウェアを配信する手段として使用されていることから、強力なサイバー セキュリティ対策の必要性が強調されています。ユーザーは、一見信頼できるソースからであっても、サードパーティのプラグインやアプリケーションをダウンロードする際には注意する必要があります。一方、開発者とセキュリティ専門家は、ソフトウェア エコシステムのセキュリティを強化するために協力し、このような脅威が広範囲に及ぶ前に特定され、無効化されるようにする必要があります。
デジタル通信ツールが普及した時代において、リスクはかつてないほど高まっています。脅威の主体が革新を続ける中、私たちの防御も革新を続けていかなければなりません。DarkGate のようなマルウェアとの戦いは続いていますが、意識を高め、積極的な行動をとることで、攻撃者の一歩先を行くことができます。
