サイバーセキュリティの研究者たちが、Sambaファイル共有を利用して感染を開始した短命のDarkGateマルウェアキャンペーンについて明らかにしました。
Palo Alto NetworksのUnit 42によると、この活動は2024年3月から4月にかけて展開され、公開されたSambaファイル共有を実行するサーバーが、Visual Basic Script(VBS)およびJavaScriptファイルをホストすることで感染チェーンを利用しました。対象地域には北米、ヨーロッパ、アジアの一部が含まれています。
「これは比較的短命のキャンペーンであり、脅威行為者がどのようにして正当なツールやサービスを悪用してマルウェアを配布するかを示しています」と、セキュリティ研究者のVishwa Thothathri、Yijie Sui、Anmol Maurya、Uday Pratap Singh、Brad Duncanは述べています。
DarkGateは2018年に初めて現れ、マルウェア・アズ・ア・サービス(MaaS)の提供として発展し、厳格に管理された顧客に利用されています。これには、侵害されたホストをリモートで制御する機能、コードの実行、仮想通貨のマイニング、リバースシェルの起動、追加のペイロードのドロップが含まれています。
特に最近数か月間で、QakBotインフラの多国籍法執行機関による撃退の後、このマルウェアを利用した攻撃が急増しています。
Unit 42による文書化されたキャンペーンは、Microsoft Excel(.xlsx)ファイルから始まり、開かれるとターゲットに埋め込まれた「開く」ボタンをクリックするよう促します。これにより、Sambaファイル共有上にホストされたVBSコードが取得され実行されます。
PowerShellスクリプトは、PowerShellスクリプトを取得して実行し、それによってAutoHotKeyベースのDarkGateパッケージをダウンロードします。
VBSの代わりにJavaScriptファイルを使用した代替シーケンスも同様で、後続のPowerShellスクリプトのダウンロードと実行が工夫されています。
DarkGateは、さまざまなアンチマルウェアプログラムをスキャンし、CPU情報を確認して物理ホストまたは仮想環境で実行されているかを判断し、分析を妨害することができます。また、ホストの実行中のプロセスを調査し、リバースエンジニアリングツール、デバッガー、仮想化ソフトウェアの存在を確認します。
「DarkGateのC2トラフィックは暗号化されていないHTTPリクエストを使用していますが、データは難読化されてBase64でエンコードされたテキストとして表示されます」と、研究者たちは述べています。
「DarkGateが進化し、浸透および分析への抵抗力を向上させる方法を洗練させるにつれ、堅牢で積極的なサイバーセキュリティ防御の必要性を強く示しています。」