マイクロソフトのTeamsのチャットを悪用してフィッシングルアーが送信されていることを先月お伝えしましたが、そのTeamsや同じくマイクロソフトが提供しているコミュニケーションツールのSkypeを悪用して、標的とする組織にDarkGateマルウェアを配布するキャンペーンが行われているということです。DarkGateとはどのようなマルウェアなのでしょうか?
ダークウェブフォーラムでPR
DarkGateは2018年に米スタートアップenSiloの研究者が発見したマルウェアだということです。enSiloは2019年にFortinetに買収され、現在、Fortinetのブログに掲載されている当時のenSiloのブログによると、DarkGateはAV製品による検出を回避し、仮想通貨マイニング、仮想通貨窃盗、ランサムウェアなど複数のペイロードを実行し、エンドポイントをリモートで制御する機能を備えているマルウェアだということです。2018年というとEDR製品が登場し、サイバーセキュリティにおけるAV製品の限界が見えていた頃かと思いますので、AV製品の検出を回避する機能はマルウェアにとっては通常の機能だったかもしれません。ちなみに官房長官だった菅元首相がEmotetについて触れたのは翌年の2019年でした。
話がそれましたが、つまりDarkGateは少し前からあるマルウェアだということです。そして活動は必ずしも活発というわけではなかったようですが、今年6月にダークウェブのフォーラムで、サイバーセキュリティの研究者の間でよく知られているマルウェア開発者がDarkGateのPRを行ったことから注目されるようになった経緯があるようです。カスペルスキーによると、ダークウェブのフォーラムでは、DarkGateの開発は2017年から行われており、2万時間以上にわたる開発で高度なダウンローダー機能を備えたマルウェアになっているとPRされていたようです。
このダークウェブでのPRの結果なのかわかりませんが、今年7月ころからDarkGateのキャンペーンが見られるようになり、トレンドマイクロが最近明らかにしたレポートによると、SkypeやTeamsを介したDarkGateの配布キャンペーンが観察されているということです。そしてDarkGateには、検出コマンドの実行、自己更新と管理、リモートアクセス、暗号通貨マイニング、キーロギング、ブラウザからの情報窃取、権限昇格などの機能があるということです。DarkGateキャンペーンのほとんどは南北アメリカで観察されているものの、アジア、中東、アフリカでも検出されているようです。
BlackBastaランサムウェアに関連するツール
「DarkGate Opens Organizations for Attack via Skype,Teams」より
トレンドマイクロによるとDarkGateはBlackBastaランサムウェアグループに関連するツールにつながっているということです。BlackBastaは2022年に登場した新しい二重脅迫型のRaaSとしてのランサムウェアです。初期の攻撃において2022年に閉鎖されたContiと共通する点がみられたことからContiの後継と目されたり、Contiから分派したグループによって運営されているとの見方がなされています。
マイクロソフトによると今年7月以降、同社がStorm-0324として追跡している初期アクセスブローカーがTeamsのチャットを通じてフィッシングルアーを配布しているということなのですが、同様に7月頃から始まったとみられるDarkGateのキャンペーンにStorm-0324によるフィッシングルアーの配布が関係しているのかどうか明らかではありません。ただし、Storm-0324はFIN7と同一グループと見られており、SentinelLabsによるとBlackBastaのEDR回避ツールの開発者はFIN7の開発者か、FIN7の開発者だった可能性が高いということですからBlackBastaとFIN7は関係性があると見てよさそうです。つまりTeamsを舞台にBlackBastaランサムウェアと関係性があるStorm-0324、FIN7がフィッシングルアーを蒔いており、BlackBastaランサムウェアとツール上のつながりがあるDarkGateマルウェアがTeamsやSkypeで配布されている実態があるということです。
■出典
https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/