Microsoft Defender SmartScreenを回避する脆弱性CVE-2024-21412を悪用している攻撃者についてトレンドマイクロはWater Hydra (別名Dark Casino)と表記しているのですが、別名のDark Casinoとはなんなのでしょうか?
オンラインカジノを狙ったフィッシングキャンペーン
Dark Casinoとは、中国・北京を拠点とするセキュリティベンダー、NSFOCUSの脅威インテリジェンスチームNSFOCUS Fuying Lab(以下、NSFOCUS)が2022年に観測したヨーロッパを標的としたフィッシングキャンペーンのことを指すようです。NSFOCUSの2022年5月31日のブログによると、ヨーロッパでオンラインカジノのプラットフォームをターゲットとしたフィッシングキャンペーンが行われており、その目的はオンラインカジノの認証を窃取して違法収益を得ることだということです。NSFOCUSはこのキャンペーンについてEvilnumと呼ばれるAPT組織によって行われているとしています。Evilnum は 2018 年に発見された 脅威グループで、イギリスおよび EU 諸国で活動しているということです。主なターゲットは金融テクノロジー企業で、取引認証情報を窃取して会社や個人の口座から資金を盗むことを目的に活動しているようです。
NSFOCUS ではオンラインカジノをターゲットとしたヨーロッパでのキャンペーンをDark Casinoと命名し、この攻撃ではDark Meという新しいトロイの木馬が使われていることを発見しました。また、NSFOCUS は、手法やツールが異なる類似の攻撃も確認しているとしており、攻撃はEvilnumだけでなく複数のグループで行われている可能性もあるとしています。
WinRARのゼロディ脆弱性の悪用
Group-IBの2023年8月のブログによると、マルウェアDark Meの拡散について調査をしていた時に圧縮ツールの1つであるWinRARのゼロディ脆弱性が見つかったということです。この脆弱性を悪用してマルウェアファミリーのキャリアとして機能するZIPアーカイブが作成されてDark MeやGuLoader、Remcos RATなどのマルウェアが配布されていたということです。このZIPアーカイブはオンラインカジノのトレーダー向けフォーラムで配布され、感染したデバイスから金融機関の口座にアクセスして資金が引き出されていたようです。
Group-IBはこの未知の脆弱性について報告しCVE-2023-38831として登録され、昨年8月2日にはアップデート版の「WinRAR 6.23」がリリースされています。CVE-2023-38831を悪用して不正なZIPアーカイブが作成され、CVE-2024-21412を悪用してMicrosoft Defender SmartScreenを回避してマルウェアが配布され、感染したデバイスを使って不正に資金が引き出されていた実態があるようです。
ところでトレンドマイクロの見解によると、この攻撃はEvilnumではなく、2021年に確認されたWater Hydraというグループによる攻撃だということです。フィッシングの手口やその他の戦術、技術、手順が類似していたためEvilnumの攻撃と考えられていたが、北米地域の攻撃ではDark Meマルウェアの使用が限定的なことやWinRARの脆弱性を悪用したキャンペーンなどからEvilnumとは別の独立したグループであるWater Hydraによる攻撃だと判明したということです。Water Hydraは2021年に初めて確認され、銀行、仮想通貨プラットフォーム、外国為替取引および株式取引プラットフォーム、ギャンブルサイト、カジノなど、世界中の金融業界を標的にした攻撃で注目されているグループだということです。
話を整理すると、最初にヨーロッパでオンラインカジノのトレーダーを狙ったフィッシングキャンペーンが確認され、このキャンペーンに対してDark Casinoと名付けられ、このフィッシングキャンペーンはEvilnumというグループによって行われていると考えられました。また、Dark Meという新しいマルウェアが使われていることも判明しました。Dark Meの調査の過程でWinRARのゼロディ脆弱性が見つかり、その脆弱性が悪用されていることがわかりました。さらにマイクロソフトの未知の脆弱性も悪用されていることが判明、トレンドマイクロはDark Casinoキャンペーンを含む一連の攻撃についてEvilnum ではなくWater Hydraによる攻撃だとし、攻撃者名をWater Hydra (別名Dark Casino)と表記しているということです。
■出典
https://blog.nsfocus.net/darkcasino-apt-evilnum/
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/