Chinotto

Chinottoは、マルチプラットフォームのマルウェアです。
Windows環境とAndroid環境で動作します。
マルウェアの実装形式は、PowerShell、Windows実行可能ファイル、Androidアプリの3種です。
このいずれについても一組のC2サーバと連携して動作する実装となっています。

Chinottoは、次のようなものです。

• Windows環境とAndroid環境で動作する
• 一組のC2サーバで統合的に動作する
• 大量のガベージコードが含まれている
  バッファを無意味なデータでいっぱいにするコードが含まれていますが、そのデータは利用されません。
  単に分析を妨げることを目的とした実装部分を持っています。
• 長期間感染して情報収集した後で、目的のマルウェアを送り込む
  ある解析対象では、初期感染は約6か月前だったことが確認されています。
  その後長期にわたってスクリーンショットを収集し、その後Chinottoを送り込んでいます。
• 感染先の環境によって感染時の処理方法が最適化されている
  感染先の環境に特定のアンチウイルスが存在しているかどうかを判定し、その有無でマルウェアの展開方法が変更されます。
  より一層発見されるリスクを低くすることを狙った実装がされています。
• 盗み出した認証情報を使って、横展開となるスピアフィッシングメールの送信を実施する

このマルウェアは、「Windows環境とAndroid環境で動作する」と「一組のC2サーバで統合的に動作する」という特徴を持っています。
このことは、そのマルウェアが二要素認証によって守られたシステムにアクセスできる可能性があることを示します。

マルウェアそのものの技術的な実装の内容についても気になるところですが、それよりも二要素認証を超えられてしまうのではないか、ということのほうがショックでした。

検出されにくい機構の実装も進んできています。
感染してしまってからそれを検出して防御することはどんどん困難になってきていると言えそうです。

参考記事（外部リンク）：Chinotto: Kaspersky uncovered formerly unknown malware
operated by ScarCruft threat actor
www.kaspersky.com/about/press-releases/2021_chinotto-kaspersky-uncovered-formerly-unknown-malware-operated-by-scarcruft-threat-actor