Operation Blacksmith

Operation Blacksmithは、マルウェアによる攻撃キャンペーンにつけられた名前です。
展開しているのは、Lazarusだと考えられています。
これまであまり例のないD programming language（いわゆるD言語）で記述されたマルウェアを展開します。

D言語は、基本的にC言語やC++に似ていて、C言語の高速性はそのままに、Javaのようなオブジェクト指向プログラミングが可能になっています。
そして、多くの環境向けにクロスコンパイルすることが可能となっています。
まだD言語は言語自体が若いのか、コンパイラのバージョンで苦労する部分もあるようですが、使える状態を構築できると魅力的なコンピュータ言語です。

Operation Blacksmithで確認された新しいマルウェアは次のようなものです。

• NineRAT
  このマルウェアは、名前のとおり、リモートアクセストロイです。
  コマンドの受信、コマンドの実行結果の送信、インバウンドおよびアウトバウンドのファイル転送に、C2チャネルとしてTelegramを使用します。
  情報収集機能、動作間隔設定変更機能、休止期間設定機能、マルウェア自身の更新機能、自分自身のアンインストール機能などを有します。

   

• DLRAT
  このマルウェアは、ダウンローダーであり、なおかつ、リモートアクセストロイです。
  これは追加のマルウェアを展開し、C2からコマンドを取得して、感染したエンドポイントで実行するために使用できます。
  システムの情報を収集し、C2の指示に従います。
  ダウンロード機能、アップロード機能、休止期間設定機能、自分自身のアンインストール機能などを有します。

   

• BottomLoader
  このマルウェアは、名前のとおり、ダウンローダーです。
  PowerShellコマンドを使用して、ハードコーディングされたリモートURLから次の段階のペイロードをダウンロードできます。
  そして、PowerShellを使用してファイルをC2にアップロードする機能も搭載しています。

この攻撃キャンペーンは、CVE-2021-44228 (Log4j)などの脆弱なインフラストラクチャをホストとして展開されます。
これまで多くのメディアで話題になって大きく注目されたLog4jの脆弱性ですが、まだまだ公開された環境に多く存在したままとなってしまっています。
脆弱なシステム自体が侵害されることも問題ですが、その脆弱なシステムが踏み台となって多くの別の新しい攻撃活動が実行可能となってしまっているといえます。

自分のためだけでなく、世のため人のため、システムは健全な状態にしておきたいですね。

参考記事（外部リンク）：Operation Blacksmith: Lazarus targets organizations
worldwide using novel Telegram-based malware written in DLang
blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/