ASEC 分析チームでは、最近インフォスティーラー型マルウェア Vidar がマストドン(Mastodon)という SNS プラットフォームを悪用して、C&C サーバーのアドレスを取得していることを確認した。
Vidar は情報窃取型マルウェアであり、スパムメールや PUP、KMSAuto 認証ツールに偽装してインストールされ、最近では Stop ランサムウェアと同じく他のマルウェアを通じてインストールされる等、以前から拡散が続いている。Vidar が実行されると、まず情報窃取の振る舞いを実行する前に C&C サーバーに接続し、窃取する情報に対するコマンドと必要な DLL を渡される。過去には一般的なマルウェアと同様に、単純に C&C サーバーに接続してコマンドおよび追加のファイルを受け取っていたが、最近確認されている Vidar は実際の C&C サーバーを得るために様々なプラットフォームを悪用している。
去年は FaceIt というゲームマッチングプラットフォームを悪用する方式を利用していたことがあり、以下のように ASEC ブログでも取り上げた事例がある。
最近確認されている Vidar はマストドン(Mastodon)という SNS プラットフォームを悪用している。Vidar が実行されると、まず以下のように C&C サーバーとの通信前にマストドン、noc.social の Web サイトに接続する。この Web ページは、具体的には「banda5ker」というユーザーのプロフィールページである。
このプロフィールの自己紹介欄を見ると、以下のような文字列を確認することができる。この文字列は、Vidar マルウェアの実際の C&C サーバーアドレスである。
- 「hello 162.55.213[.]180|」
Vidar は当該 Web ページの本文をダウンロードして「hello」の文字列を検索した後、「|」 区切り文字(デリミタ)との間に存在する C&C アドレスの構文を解析する。
もし攻撃者がプロフィール項目を編集して別のアドレスを記入した場合、Vidar インフォスティーラーも変更された C&C サーバーに接続して不正な行為を実行するものと思われる。マストドンの攻撃者のアカウントが削除されない限り、攻撃者は周期的に C&C サーバーを変更し、同じマルウェアであっても異なる C&C サーバーに接続させることができる。すなわち、このような方式を使用するのは C&C アドレスのネットワーク検出を回避するためのものであると見られる。
Vidar はこのようにして確保した実際の C&C サーバーに接続して、コマンドおよび情報窃取に必要な DLL を受け取り、最終的に窃取した情報を C&C サーバーに送信する。参考に、渡されたデータを確認すると、この Vidar のバージョンが v49.6 であることがわかる。過去に Faceit を悪用していた Vidar の事例では、バージョンが v38.6 であった。
Vidar マルウェアの情報窃取機能については、以下のブログで確認できる。
現在当社 V3 製品では、このマルウェアを以下の通り検知している。
[ファイル検知]
– Infostealer/Win.SmokeLoader.R465643 (2022.01.19.01)
[ビヘイビア検知]
– Malware/MDP.Vidar.M3505
[IOC]
ファイル
185cc9e866a23c5cff47d41e8834ffad
C&C
– hxxps://noc[.]social/@banda5ker
– hxxp://162.55.213[.]180
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報