RustyBuerマルウェア

セキュリティ研究者によって発見されたRustyBuerは、Buerマルウェアローダーの新しいバージョンです。元の脅威は、地下のハッカーフォーラムで購入できるようになった2019年に最初に観察されました。 Buerは、標的となるシステムへの足がかりを確立し、次の段階のマルウェアの脅威を配信して攻撃をエスカレートする初期ペイロードとして機能します。新しいバージョンは同じ機能を保持していますが、主な差別化要因はRustプログラミング言語で記述されていることです。

サイバー犯罪者の間では、新しく確立されていないプログラミング言語を使用して既存のマルウェアの脅威を再現することは比較的最近の傾向です。そうすることで、脅威の元のバージョンを簡単に検出できるシグネチャベースのマルウェア対策セキュリティソリューションを回避できます。同時に、まったく新しいマルウェアを作成する代わりの方法と比較して、脅威を解放するために必要な時間を大幅に短縮します。

RustyBuerの攻撃チェーン

RustyBuerマルウェアが関与する一連の攻撃では、攻撃者は国際的なロジスティクス会社DHLから送信されたふりをしてルアーメールを広めました。偽のメールに正当性を追加するために、ハッカーはいくつかのサイバーセキュリティプロバイダーのロゴを含めました。偽の電子メールのテキストは、標的となる被害者に添付ファイル（通常は武器化されたWordまたはExcelドキュメント）を開くように指示します。破損したファイルには、RustyBuerの脅威をシステムに配信するマクロが含まれています。エンドポイントセキュリティソリューションからの検出を回避するために、マクロはアプリケーションバイパスを利用します。

被害者のデバイス内に入ると、RustyBuerは仮想化の兆候がないか環境をチェックします。その後、ジオロケーションチェックを実行して、ユーザーが特定のCIS（独立国家共同体）の国から来ているかどうかを判断し、一致するものが見つかった場合、マルウェアはその実行を終了します。 RustyBuerは、システムの起動ごとに開始されるLNKファイルを介して永続性メカニズムも確立します。

次のステージのペイロード

RustyBuerを展開している最近の攻撃キャンペーンの分析により、脅威は以前にBuerで観察された動作とほぼ一致していることが明らかになりました。脅威の攻撃者は、侵害されたシステムにCobalt StrikeBeaconをドロップしました。 Cobalt Strikeは合法的な侵入テストツールであり、脅威を与える操作に組み込む脅威アクターによって頻繁に悪用されます。

ただし、場合によっては、システム上にRustyBuerが確立された後、脅威のアクターがアクターをエスカレーションせず、第2段階のペイロードが検出されませんでした。研究者たちは、感染後のシステムへのアクセスを他のサイバー犯罪グループに販売するために、サービスとしてのアクセススキームを運用しようとしている脅威アクターの兆候であると考えています。

CIS地域からの制限された国のリストの存在は、RustyBuerの運営者が潜在的にロシアと関係を持っている可能性があることを示していることにも注意する必要があります。