Ceeloader
Ceeloaderという新しいマルウェアが観測されています。
このマルウェアは、APT29が関連しているとみられています。
APT29といえば、SolarWindsの件が思い出されます。
彼らは高度なマルウェアを送り込んでくる集団といえそうです。
Ceeloaderは、C言語で書かれ、難読化されています。
Ceeloaderは、こんな動きをします。
- おとりのWindows APIの呼び出しとジャンクコードの大きなブロックを組み合わせて、セキュリティソフトウェアによる検出を回避する
- 情報搾取に使用するWindows APIの呼び出しは、APIの名前を動的に復号化する難読化されたラッパー関数内に隠している
- C2への通信にはHTTPを使用し、C2からの応答はCBCモードのAES-256を使用して復号化されている
- Cobalt Strikeビーコンによってインストールおよび実行されるようになっており、現時点では永続化の機構は含まれていない
マルウェアの構造や動きも複雑ですが、このAPTグループのとる戦略も複雑です。
一つの組織を攻撃する際に、なんらかの認証情報を取得して実施するのですが、その際に、複数のアカウントを取得し、そのそれぞれで別々の機能に使用するのです。
これにより、もしいずれかの活動が露見して防御されてしまったとしても、別のアカウントで進行している攻撃行為は継続できるようにしようというのです。
入ってきてしまったものを見つけて防御することはどんどん困難になってきている感じがします。
実世界のウイルスと同様、水際での防御によって、そもそも問題のあるものが中に入ってこないようにすることが重要なのかもしれません。
参考記事(外部リンク):Russian hacking group uses new stealthy Ceeloader malware
www.bleepingcomputer.com/news/security/russian-hacking-group-uses-new-stealthy-ceeloader-malware/
