RotBot マルウェア
ベトナムを拠点とすると思われるグループが、少なくとも2023年5月以降、貴重な情報を抜き出すことを目的とした脅迫ソフトウェアを使って、さまざまなアジアおよび東南アジア諸国の個人を標的にしていることが確認されている。CoralRaiderとして知られるこの活動は、サイバーセキュリティの専門家らが金銭目的であることに注目し、注意深く監視している。この攻撃の焦点は、インド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムなどである。
このサイバー犯罪シンジケートは、個人アカウントとビジネスアカウントの両方を含む認証情報、財務記録、ソーシャルメディアのプロフィールを盗むことに特化しています。この特定の攻撃に使用されている武器には、 Quasar RATのカスタマイズ版である RotBot と、XClient スティーラーが含まれています。さらに、 AsyncRAT 、 NetSupport RAT 、 Rhadamanthysなど、リモートアクセスを取得して侵害されたシステムから情報を盗み出すことを目的としたさまざまな既成のマルウェアを展開しています。
目次
サイバー犯罪者は特定のターゲットから機密情報を盗み出すことを目指している
ベトナム出身の攻撃者は、ビジネスアカウントや広告アカウントへの侵入に重点を置いており、 Ducktail 、 NodeStealer 、 VietCredCareなどのさまざまな窃盗型マルウェア ファミリを使用してこれらのアカウントを乗っ取り、その後の収益化を図っています。
彼らの手口は、被害者のマシンから盗んだ情報をTelegramを使って送信し、それを秘密市場で交換して不法な利益を得るというものである。
CoralRaider の運営者がベトナムに拠点を置いていることを示唆する証拠があります。これは、Telegram のコマンド アンド コントロール (C2) ボット チャネルでの攻撃者からのメッセージや、ボットの名前、PDB 文字列、ペイロード バイナリ内にハードコードされたその他のベトナム語の用語にベトナム語が好まれていることからもわかります。
多段階の感染チェーンがRotBotマルウェアの脅威をもたらす
攻撃シーケンスは Windows ショートカット ファイル (LNK) から始まりますが、ターゲットへの配布方法は不明です。LNK ファイルを開くと、攻撃者が管理するサーバーから HTML アプリケーション (HTA) ファイルがダウンロードされて実行され、その後、埋め込まれた Visual Basic スクリプトが実行されます。
このスクリプトは、VM 対策および分析対策チェックの実行、Windows ユーザー アクセス制御 (UAC) のバイパス、Windows およびアプリケーションの通知の無効化、RotBot のダウンロードと実行を行う 3 つの追加 PowerShell スクリプトを復号化し、順番に実行します。
RotBot は、Telegram ボットと通信し、メモリ内の XClient スティーラー マルウェアを取得して実行するように設定されています。これにより、Brave、Cốc Cốc、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera などの Web ブラウザーから Cookie、認証情報、財務情報、Discord および Telegram のデータを盗み、スクリーンショットをキャプチャすることが可能になります。
さらに、XClient は被害者の Facebook、Instagram、TikTok、YouTube アカウントからデータを抽出し、Facebook のビジネス アカウントや広告アカウントに関連付けられた支払い方法や権限に関する情報を取得するように設計されています。
RotBot は、Quasar RAT クライアントのカスタマイズされた亜種であり、脅威アクターによってこのキャンペーン専用に調整およびコンパイルされています。さらに、XClient は、プラグイン モジュールとリモート管理タスクを実行するためのさまざまな機能を通じて、広範な情報窃取機能を誇ります。
インフォスティーラーは依然として多くの分野を狙う大きな脅威である
Facebook 上のマルバタイジング キャンペーンでは、生成 AI ツールを取り巻く誇大宣伝を利用して、 Rilide、 Vidar、 IceRATなどのさまざまな情報窃盗ツールや、新たに出現した Nova Stealer と呼ばれる脅威を宣伝しています。
攻撃は、脅威アクターが既存の Facebook アカウントを乗っ取り、その外観を Google、OpenAI、Midjourney などの人気の AI ツールに似せることから始まります。彼らは、プラットフォーム上でスポンサー広告を掲載することで影響力を拡大します。
たとえば、Midjourney を装った偽ページは、2023 年 3 月 8 日に閉鎖されるまでに 120 万人のフォロワーを獲得していました。これらのページの背後にいる人物は、主にベトナム、米国、インドネシア、英国、オーストラリアなどの国に住んでいました。
これらのマルバタイジング キャンペーンは、Meta のスポンサー広告システムを活用して広範囲にリーチし、ドイツ、ポーランド、イタリア、フランス、ベルギー、スペイン、オランダ、ルーマニア、スウェーデンなどのヨーロッパ諸国のユーザーを積極的にターゲットにしています。
