2023年5月16日 / 最終更新日 : 2023年5月16日 Kazuo_Komoriya ほぼこもセキュリティニュース

変化していくRapperBot

ほぼこもセキュリティニュース By Terilogy Worx

時間の経過とともにいろいろなものが変化していきます。
マルウェアの実装状況も同じです。
方向性はそのままに機能が拡張されていくというケースもあるでしょうし、作戦を変化させながら大きく変わっていくケースもあります。
今回は後者のパターンです。

RapperBotと命名されているマルウェアがあります。
これそのものは2022年8月くらいにはすでに観測されていました。
おおまかに変化の様子を見てみましょう。

  • スナップショット1
    この実装状態が観測されていたのはおよそ2022年8月頃です。
    このころのRapperBotは感染する機能のみが実装されていました。
    sshでパスワードのブルートフォースをかけ、侵入を試みます。
    侵入できると特権ユーザを追加します。
    自身に含む設定文字列などを暗号化する機能を持ち、C2と通信する機能も搭載されていました。
    しかしそれだけでした。
    この時点ではなんら他のマルウェアを送り込むことはないですし、他の活動も観測されませんでした。
    これは検証中のマルウェアといったところでしょうか。
  • スナップショット2
    この実装状態が観測されていたのはおよそ2022年11月頃です。
    これ以前のものではsshのブルートフォース攻撃を実施していましたが、この時点ではtelnetのブルートフォース攻撃に変更されていました。
    そして以前のものには感染後の目的は実装されていなかったのですが、この時点ではDDoS攻撃機能が実装されていました。
    そしてさらに環境のアーキテクチャを確認し、ARM、MIPS、PowerPC、SH4、SPARCだった場合には他のマルウェアを送り込むという機能を搭載していました。
    この時点のRapperBotは、Intelアーキテクチャに感染した場合、なにも実施することなく自己伝搬を停止する動きとなっていました。
    この段階のRapperBotはIoT機器上でDDoSの機能を実現して稼ぐマルウェアでした。
  • スナップショット3
    この実装状態が観測されていたのはおよそ2023年1月頃です。
    この頃のRapperBotは再びsshでパスワードのブルートフォースをかける動きになっていました。
    そしてターゲット環境はIntelアーキテクチャに変更されました。
    感染が完了すると他のマルウェアを感染環境に送り込みます。
    送り込むものはマイナーです。
    この段階のRapperBotはIntel機器上で暗号資産をマイニングして稼ぐマルウェアでした。
  • スナップショット4
    この実装状態が観測されてたのはおよそ2023年1月下旬頃です。
    sshで感染を広げていくところは変わっていません。
    マイニングで稼ぐところも変わっていません。
    しかし、この時点でのRapperBotはマイナーをダウンロードして動作させるという仕様ではなくなっていました。
    スナップショット3の時点ではXMRigを持ってくる動きだったのですが、この段階ではXMRigのコードそのものを改造してRapperBotのコードと融合させた状態に変化しました。
    この作戦の変化はいくつかの効能を攻撃者にもたらしました。
    他のマルウェアを持ってくる動きを必要とせず感染完了とともに稼ぎ始めることができるようになりました。
    さらにこれ以前から搭載していた内部の変数などを暗号化して保持することができる機能を組み合わせることで、マイナーが使用するウォレットに関する情報を解析されにくくすることも容易になりました。
    そしてBot型マルウェアには他のBotの動作を阻害する仕組みを持つものがよく観測されますが、このマルウェアには他のマイナーの動作を停止させる仕組みが実装されていました。
    感染環境のシステムリソースは自分の使用するマイナーになるべく多く使わせようということでしょうか。
    この段階のRapperBotはIntel機器上で暗号資産を効率よくマイニングして稼ぐマルウェアとなりました。

RapperBotの変化のイメージはこのようなものです。
便宜上ここではいくつかの段階に分けて記載していますが、実際にはもっと多くの開発の段階があったものと思われます。
こういったことを考える場合、サンプルを取得してHASHを作成し、悪性のファイルをHASHで判断する作戦には効果を期待しにくいことが想像できます。
そういった直接的な取り組みでなく、もっと根本的な対策が必要というように思えます。

いろいろな領域でShift-leftの重要性が唱えられています。
サイバーセキュリティの領域においても、Shift-leftの重要性が高まっているということを考えさせられる事例に感じました。

参考記事(外部リンク):RapperBot DDoS Botnet Expands into Cryptojacking
www.fortinet.com/blog/threat-research/rapperbot-ddos-botnet-expands-into-cryptojacking

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

悪用されるPaperCut
2023年5月15日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

BeaconじゃなくてGeacon
2023年5月17日