高度な機能を安価で提供しサイバー攻撃者の助けになるプラットフォーム「Dark Utilities」

世界最大のコンピューターネットワーク機器会社・Ciscoの脅威インテリジェンスチーム・Talosが、サイバー攻撃を行うときに用いられるC2(C&C：コマンド＆コントロール)サーバーを簡単に用意してくれるという「Dark Utilities」と呼ばれるサービスの存在を暴きました。利用料は9.99ユーロ(約1370円)で、約3000人が登録しているとのことです。

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers leveraging Dark Utilities "C2aaS" platform in malware campaigns
http://blog.talosintelligence.com/2022/08/dark-utilities.html

Thousands of hackers flock to 'Dark Utilities' C2-as-a-Service
https://www.bleepingcomputer.com/news/security/thousands-of-hackers-flock-to-dark-utilities-c2-as-a-service/

Talosによると、「Dark Utilities」は2022年初頭に確立されたC2aaS(C2-as-a-Service)モデルのC2プラットフォーム。サイバー攻撃を受けた被害者のシステムで実行されるコードで構成されるペイロードを提供し、被害者のシステムをサービスに登録して、C2通信チャネルを確立します。Windows、LinuxおよびPythonベースのペイロードをサポートしており、攻撃者は開発リソースを割かなくても複数のアーキテクチャを標的にできるとのこと。

「Dark Utilities」を作ったのは「Inplex-sys」という集団で、DiscordとTelegramでサポートを提供しています。Talosの調査でもはっきりとした素性はわかっていませんが、活動期間としてはそれほど長くはないとのこと。また、「Inplex-sys」が単独で管理・開発をしたという兆候もないとのことです。

調べによれば、Steamで「Inplex-sys」の名前が使われていて、「Dark Utilities」を宣伝すると同時に、DiscordやTwitchへの攻撃に用いられる「Smart Bot」へもリンクが貼られていたとのことで、Smart Botプロジェクトに携わる複数の個人がInplex-sysと協力関係にあるとみられています。

なお、プラットフォーム、関連ペイロードおよびAPIエンドポイントへのプレミアムアクセスを利用するための費用は9.99ユーロで、登録者数は3000人ほど。

これは提供する機能の内容に対して比較的安価な設定なので、マルウェアに独自のC2実装を作成せずシステムを侵害しようとする攻撃者にとって魅力的に映る可能性があり、今後もユーザー数は増加するものとみられます。また、この種のC2aaSモデルのプラットフォームは、開発力がそれほど高くない攻撃者に高度な機能を与えるもので、さまざまなOSを標的とした攻撃を迅速に開始できるようにするため、企業・組織はこれらのプラットフォームをしっかりと認識し、セキュリティ制御を確実に実施する必要があるとTalosは指摘しています。