SkinnyBoy マルウェア

Cluster 25 脅威調査会社の Infosec の専門家は、戦略的エンティティに対して利用された新しいスピア フィッシング キャンペーンを明らかにしました。攻撃チェーンの一部として、研究者は、侵害されたシステムに最終的な脅威のペイロードを配信することを任務とする中間段階のダウンローダーとして機能する新しいマルウェアの脅威を発見しました。 SkinnyBoy と名付けられたこのマルウェアは、ロシア語を話すAPT28ギャングの有害な兵器の一部であるとされています。この特定の脅威アクターは、Fancybear、Sednit、Strontium、PwnStorm、Sofacy という名前でも攻撃されています。

スキニーボーイの特徴

SkinnyBoy 攻撃は、餌フィッシング メールの配信から始まります。犠牲者は、7 月末にスペインで開催されると思われる国際的な科学イベントへの偽の招待状を受け取ります。電子メールに添付されているのは、破損したマクロを含む兵器化された Microsoft ドキュメントです。アクティブ化されると、マクロはマルウェア ダウンローダーを DLL ファイルの形式で抽出します。

SkinnyBoy は、感染したシステムの隣に配信されます。この脅威は、「tpd1.exe」という名前のファイルとして到着します。 SkinnyBoy は、開始されると、Windows のスタートアップ フォルダーの下に LNK ファイルを作成することにより、永続化メカニズムを確立しようとします。侵害されたシステムが次に再起動されるたびに、LNK がトリガーされ、SkinnyBoy のメイン ペイロード ファイル「TermSrvClt.dll」の検索を開始します。これは、C:\Users\%username%\AppData\Local の場所に保存されているすべてのファイルの SHA256 ハッシュをスキャンすることによって行われます。

SkinnyBoy が実行するコア タスクは、感染したシステムに最終ペイロードを配信することです。ただし、この脅威はシステムに存在している間、Windows ツールの「syteminfo.exe」および「tasklist.exe」を悪用して特定の情報も収集します。データは、次のファイルと場所から収集されます。

• C:\ユーザー\%ユーザー名%\デスクトップ
• C:\Program Files - C:\Program Files (x86)
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
• C:\Users\%username%\AppData\Roaming
• C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
• C:\Windows - C:\Users\user\AppData\Local\Temp

その後、SkinnyBoy によって収集された情報は編成され、base64 形式でアンコールされ、操作のコマンド & コントロール サーバーに抽出されます。

スキニーボーイの犠牲者

SkinnyBoy マルウェアは、これまで多数の潜在的な被害者に対して展開されてきました。 APT28 は、主に外務省、防衛産業団体、大使館、軍事部門の組織などの政府機関を標的にしているようです。被害者の一部は欧州連合に居住していましたが、APT28 はより大規模に活動する可能性があり、攻撃は米国の組織にも影響を与える可能性があります。