あらゆるデータを盗み、痕跡を消す新たなマルウェア Baldr

Watch making

悪意のあるソフトウェアの世界は、正規のソフトウェアの世界を映す鏡です。

よい意味でも悪い意味でも非常に優れたソフトウェアが存在しています。そのすべてに共通しているのは、ソフトウェア開発者、セールスやマーケティングの担当者、販売業者、サポートスタッフなど、多くの人が関わっている点です。

SophosLabs が公開した最新の調査報告書(リンク先:英語)で示されているように、人間がやることには失敗がつきものです。

この調査は、SophosLabs が 1 月から追跡してきた新しい違法ソフトウェア「Baldr」に関するものです。

Baldr はパスワードを盗むマルウェアですが、実際は盗めるものはすべて盗もうとする無差別型のマルウェアです。

このことを最初に報告したのは、SophosLabs の研究者たちです。SophosLabs の仕事は、マルウェアの仕組みを解明し、マルウェアを阻止する方法を特定することです。

Baldr に対する SophosLabs の取り組みは、早い段階で始まっていました。Baldr はマルウェアアナリストによる解析を妨害する目的で何層にも難読化されているため、SophosLabs のスタッフは手動で難読化解除しなければなりませんでした。

(引用文日本語訳)Baldr では、静的コード分析を妨害するために合計 9 層もの難読化レイヤーが用いられていますが、SophosLabs はそのハッキングに成功しました。

分析の結果、Baldr が極めて詮索好きなマルウェアであることが判明しました。

不運にも Baldr に感染してしまったシステムでは、有用そうなデータや価値がありそうなデータなど、あらゆるものが盗まれます。

Baldr はまず、システムプロファイルを作成します。そのためには、CPU モデル、オペレーティングシステム、システム言語、画面解像度、インストールされているプログラムなど、感染先のコンピュータに関する大量の情報を取得します。

次に、Web ブラウザを荒らし回り、保存されている認証情報、オートコンプリート情報、クレジットカード情報、Cookie、ユーザーがアクセスしたドメイン、閲覧履歴を入手します。

その後、見つけた FTP ログイン情報を一気に収集し、続けてコンピュータのインスタントメッセージングクライアントと VPN からも認証情報を盗みます。

暗号通貨が存在していれば、さまざまなウォレットから暗号通貨を略奪する方法もこのマルウェアは知っています。さらには、デスクトップのスクリーンショットも撮影していきます。なぜなら、Baldr は盗れるものはすべて盗むマルウェアだからです。

盗んだデータをすべて暗号化されたファイルに詰め込み、HTTP を介して C2(C&C)サーバーに POST 送信してから、痕跡を隠すために自身を削除します。

上記に加えて、Baldr は C2 サーバーから別のマルウェアをダウンロードするためにも使用できます。

(引用文日本語訳)Baldr と他のマルウェアとの関係は複雑です。たとえば、Baldr を被害者のマシンにロードするランサムウェアが最近確認されました。また、感染時に Baldr をドロップする Arkei や Megumin のインスタンス、および Megumin をドロップする Baldr のインスタンスも確認されています。

Baldr とその C2 インフラストラクチャに関しては、図らずも Baldr の顧客から情報がもたらされました。

Baldr の顧客によるサーバー管理がずさんであったため、SophosLabs は Baldr の裏側を知ることができました。

(引用文日本語訳)Baldr の一部の顧客が運用セキュリティに無頓着であったため、C2 パッケージをアクセス可能な状態のまま C2 サーバー上のオープンディレクトリに置いていました。そこで SophosLabs は、いくつかダウンロードして詳しく調べました。

C2 コードのコピーを入手した SophosLabs は、マルウェア作成者の戦略と動機を詳しく知ることができました。また、管理コンソールが「数多くの攻撃に対して脆弱」であると結論付けるのに十分なセキュリティ脆弱性を発見するなど、Baldr の開発者のコーディングスキルも明らかになりました。

「泥棒の間でも礼節は重んじられる」という幻想を抱いている人がいるかもしれませんが、実際は異なります。

(引用文日本語訳)C2 サーバーを調査し、利用し続けていた他の攻撃者が、Web シェルを使用して Baldr の C2 サーバーを繰り返し乗っ取るのを SophosLabs は確認しています。

中間業者を排除して自ら乗っ取りを実行した攻撃者から、さらなる情報がもたらされました。

(引用文日本語訳)間違えてなのかテスト目的なのかは不明ですが、マルウェアのサンプルを自分のマシンで実行してしまい、マルウェアの購入者が自分のスティーラー(データを盗み出すマルウェア)の被害者になることもまれにあります。

残念ながら、Baldr 自体は冗談ではなく、どうすれば深刻な脅威になるのかを熟知している Baldr オペレーターが存在します。

(引用文日本語訳)どうやら Baldr の開発者たちは、主要な販売業者と仲たがいをしたようです。この件が報道された後、販売業者は Baldr 開発者との取引を中止したようです。この種の犯罪集団の性質を考えれば、この流通の問題は一時的なものにすぎず、Baldr は再び売りに出されるでしょう。

Baldr の詳細については、Baldr vs The World(英語)を参照してください。