数年ぶりに活性化しているDarkGate

DarkGateは2017年ごろに観測されていたローダーです。
その後いろいろな新しいローダーが登場し、結果として、DarkGateの活動は活発ではない状態となっていました。
しかし、ここのところ、再度活性化していることが確認されています。

DarkGateはローダーに分類されますが、単なるローダーに留まらない、いろいろな機能が実装されています。
自己更新と自己管理、RDPやhVNCやAnyDeskなどとの連動、暗号資産のマイニング、キーロガー、ブラウザ情報の取得、権限昇格などの機能があります。
DarkGateは、次のような流れで入り込んできます。

• Skypeのアカウントを入手する
  最初にどういった手段でこれが実施されているのかは明らかになっていませんが、まずメッセージングプラットフォームの認証情報を脅威アクターは入手します。
• メッセージをターゲット組織の人に送信する
  入手した認証情報でメッセージングプラットフォームにログインし、ターゲットにメッセージを送信します。
• 偽装されたメッセージ
  メッセージにはファイルが添付されてきます。
  添付されているファイルはVBAスクリプトです。
  そんなものを不用意に実行する人は多くないと思うところですが、開いてしまう人が少なくありません。
  このメッセージの添付のファイルはファイル名が工夫されていて、一見するとPDFに見えるようになっています。
  「契約書に見えるような文字列.pdf　　　　　www.skype[.]vbs」のようなファイル名になっています。
  落ち着いて見ると、ファイル名のなかにスペースが含まれているけれども、拡張子はvbsであるとわかるのですが、一見するとPDFのように思ってしまうこともありそうです。
• vbsの実行で感染する
  VBAスクリプトが実行されると、マルウェアがいくつかの段階を経て展開されます。
  DarkGateが設置されて悪用が開始されます。

この感染例ではSkypeが使用されていましたが、別の例も確認されています。
Microsoft Teamsの侵害されたアカウントを使用した類似の攻撃です。
Teamsのほうでは、添付のファイルはzipになっています。
そして、zipのなかにはPDFを装ったLNKファイルが含まれていて、PDFだと思ってLNKを開くと、VBAスクリプトが実行されるという流れになっています。
そして、最終的にDarkGateに感染した状態となってしまいます。

個人的な用途だけでなく、メッセージングプラットフォームを業務に使用することは多くなっていると思います。
そして、メッセージングプラットフォームを通じてファイルのやり取りが実施され、その内容を確認することも少なくないでしょう。
しかし、中にはこの例のように、残念な結果となる場合があります。
文書を開く際には、それが何者であるのかをよく確認して取り扱うことを意識するということが重要です。

参考記事（外部リンク）：DarkGate Opens Organizations for Attack via Skype, Teams
www.trendmicro.com/en_ph/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html