Backdoor.Pterodo

Shuckwormが使っているマルウェアにPterodoというものがあります。
このマルウェアは他とは少し異なる戦略が使われているような感じがします。

PterodoというのはBackdoorです。
今回観測されている活動ではこんなことになっています。

• 感染する
  被害者がフィッシングメールの添付ファイルを開くことから始まります。

   

• Backdoorをインストールする
  このマルウェアはVisual Basic Script（VBS）ドロッパーです。
  Backdoor.Pterodo.Bと命名されています。
  スケジュールされたタスクを追加することで永続化を実現します。
  1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
  2段目のVBスクリプトは次のマルウェアをダウンロードします。

   

• Backdoorをインストールする
  このマルウェアもVisual Basic Script（VBS）ドロッパーです。
  Backdoor.Pterodo.Cと命名されています。
  サンドボックスの検出を回避する目的なのか不明ですが、意味のない複数のAPI呼び出しを行います。
  1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
  2段目のVBスクリプトは次のマルウェアをダウンロードします。
  さっきと同じ流れです。

   

• Backdoorをインストールする
  さらにこのマルウェアもVisual Basic Script（VBS）ドロッパーです。
  Backdoor.Pterodo.Dと命名されています。
  1段目のVBスクリプトはDNSのキャッシュをクリアし2段目のVBスクリプトを実行し自分は消えてなくなります。
  2段目のVBスクリプトは次のマルウェアをダウンロードします。
  またまたさっきと同じ流れです。

   

• Backdoorをインストールする
  さらにさらにこのマルウェアもVisual Basic Script（VBS）ドロッパーです。
  Backdoor.Pterodo.Eと命名されています。
  意味のないAPI呼び出しを実施します。

この一連の流れで展開されているのはいずれもBackdoorです。
やろうと思えば何でも実行できると思うのですがいまは情報収集が主たる内容です。
Shuckwormは他の活動ではUltraVNCを勝手に侵入先に設置するなどもしています。
ですのでいまは情報収集をやっているだけの段階ということかもしれません。

ここで収集された情報がどこかのタイミングで別の攻撃の開始材料になってしまう感じがします。
こんなにいろいろと活動されてしまっても検出できない組織がターゲットとされることになるというような意味での準備活動なのかもしれません。

参考記事（外部リンク）：Shuckworm: Espionage Group Continues Intense Campaign
Against Ukraine
symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shuckworm-intense-campaign-ukraine