BunnyLoader 3.0

BunnyLoaderは、名前の示す通り、ローダーです。
2023年9月から観測されていて、確認された当時も大きく話題になりました。
その後も開発が継続されていて、現在3.0というバージョンに変化しています。
変化した内容は、どのようなものなのでしょうか。

• C2機構の更新
  BunnyLoaderのC2は、HTTPによるWebサービスでの通信でマルウェアとの通信を実現しています。
  従来のBunnyLoaderのC2は、HTTPパラメータを平文で構成して通信を実施していました。
  BunnyLoader3.0のC2は、ここが変更されています。
  暗号化して通信される形式に変更されていますので、そのままではパラメータを確認することはできません。
  パラメータの情報はRC4で暗号化され、文字コードに変換され、URLエンコードされた状態で使用されます。
  また、マルウェアとのコマンドのやり取りでそのコマンドを区別する用途に、UserAgentを利用します。
• マルウェア本体部分のモジュール化
  従来のBunnyLoaderの本体部分は、一つの塊の状態で実装されていました。
  これがBunnyLoader3.0ではモジュール化されました。
  2秒おきにC2と通信し、モジュールを取得して活動を変化させていくような形式で動作します。
• 拡張されたキーロガー機能
  キーロガーは感染した端末で入力されたキーボードの入力情報を記録します。
  新しいキーロガーでは、ここも拡張されています。
  フォーカスされているウィンドウタイトルやプロセス名から、そのキー入力がどのアプリケーションに実行されているものなのかを認識する機能が実装されています。
  そして、キーを記録する際に、認識したアプリケーション別に記録するようになりました。
  キー情報を入手した脅威アクターの情報認識が格段に実施しやすくなったと考えられます。

これら以外にも、情報を取得するスティーラーモジュール、暗号資産を盗み出すクリッパーモジュール、サービス拒否攻撃を実現してしまうDoSモジュールなどが実装されています。
これらも3.0以前からある機能ですが、モジュール化されて機能も拡張されてきています。

BunnyLoaderはMaaSで提供されています。
MaaSはMalware as a Serviceです。
時間の経過とともに、バグ修正、セキュリティ対策からの回避機構の追加、新機能の追加、と拡張と変更が進んでいきます。
防御側も継続的に防御システムを改善する取り組みが必要と認識する必要がありそうです。

参考記事（外部リンク）：インサイド・ザ・ラビット・ホール: BunnyLoader 3.0 詳解
unit42.paloaltonetworks.jp/analysis-of-bunnyloader-malware/