ピュアクリプター

サイバー犯罪者グループは、PureCrypter と呼ばれるマルウェア ダウンローダーを使用して、アジア太平洋 (APAC) および北米地域の政府機関を攻撃しています。攻撃の背後にいるサイバー犯罪者は、これらの組織のシステムに侵入して機密情報を収集したり、場合によってはランサムウェアを使用してシステムを人質にしたりしました。これらの政府機関は機密情報や機密情報を保管していることが多く、サイバー犯罪者の主な標的となっているため、攻撃の深刻度はさらに高まっています。

セキュリティ研究者は、攻撃者が最初のペイロードをホストするために Discord を悪用し、キャンペーンで使用される追加のホストを獲得する方法として非営利組織を侵害したことを発見しました。これは、攻撃者が Discord のような正当なプラットフォームを使用してマルウェアの初期ペイロードを配布し、セキュリティ システムがマルウェアを検出してブロックすることを困難にしたことを意味します。このマルウェアは、 Redline Stealer、 AgentTesla 、 Eternity 、 Blackmoon 、 Philadelphia Ransomwareなど、いくつかの異なるマルウェア株を配信することで知られています。

PureCrypter は多段階攻撃チェーンの一部です

PureCrypter マルウェア ダウンローダを利用する攻撃は、Discord アプリケーション URL を含む電子メールで開始されます。この URL は、パスワードで保護された ZIP アーカイブに含まれる PureCrypter サンプルにつながります。 PureCrypter は、.NET ベースのシステムで動作するマルウェア ダウンローダーです。そのオペレーターは、さまざまな種類のマルウェアを配布する目的で、他のサイバー犯罪者に貸し出しています。 PureCrypter が実行されると、コマンド アンド コントロール (C2、C&C) サーバーから次の段階のペイロードを取得して配信します。この特定のケースでは、攻撃者が使用したコマンド アンド コントロール サーバーは、侵害された非営利組織のサーバーでした。

研究者が分析したサンプルは、被害者のコンピューターから情報を収集するマルウェアの一種である AgentTesla でした。起動すると、AgentTesla はパキスタンを拠点とする FTP サーバーへの接続を確立して、収集したデータを送信します。興味深いのは、攻撃者が独自の FTP サーバーをセットアップしたのではなく、漏えいした資格情報を使用して既存のサーバーを制御したことです。すでに侵害されたサーバーを使用することで、特定されるリスクを軽減し、痕跡を最小限に抑えます。

AgentTesla は脅威的なサイバー犯罪ツールのまま

AgentTesla は、サイバー犯罪者によって過去 8 年間使用されてきた .NET マルウェアの一種であり、その使用は 2020 年後半から 2021 年初頭にかけてピークに達しています。何年にもわたって開発され、改善されました。

AgentTesla の重要な機能の 1 つは、被害者のキーストロークを記録する機能です。これにより、サイバー犯罪者はパスワードなどの機密情報を取得できます。このマルウェアは、FTP クライアント、Web ブラウザ、または電子メール クライアントに保存されているパスワードも収集する可能性があります。さらに、AgentTesla は被害者のデスクトップのスクリーンショットをキャプチャすることができ、機密情報が漏洩する可能性があります。また、テキスト、パスワード、クレジット カードの詳細など、システムのクリップボードにコピーされたデータにアクセスして傍受する可能性もあります。収集されたデータは、FTP または SMTP 経由で Command and Control (C2) サーバーに流出する可能性があります。

PureCrypter 攻撃では、攻撃者は「プロセス ハロウイング」と呼ばれる手法を使用して、AgentTesla ペイロードを「cvtres.exe」と呼ばれる正当なプロセスに挿入しました。この手法は、セキュリティ ツールからの検出を回避するのに役立ちます。

C2 サーバーおよび構成ファイルとの通信を安全に保ち、ネットワーク トラフィック監視ツールによって検出されないようにするために、AgentTesla は XOR 暗号化を使用します。この暗号化方式により、セキュリティ システムがマルウェアと C2 サーバーとの通信を検出することが難しくなり、脅威の検出と軽減が困難になります。