GitHubでホストされていた「Windowsのロゴ画像」にマルウェアを隠して感染させるという恐るべき手口が発覚

by Isriya Paireepairit

以前から、AndroidやiPhoneでは画像にマルウェアを仕込むという手口が発見されていますが、新たにWindowsのおなじみのロゴマークにバックドアを紛れ込ませる恐るべき手法が見つかりました。セキュリティ研究者は、中国政府の支援を受けたハッカー集団「APT10」と関係が深いサイバー犯罪者によるものである可能性が高いとして調査を進めています。

Witchetty: Group Uses Updated Toolset in Attacks on Governments in Middle East | Broadcom Software Blogs
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage

Cyber Attacks Against Middle East Governments Hide Malware in Windows Logo
https://thehackernews.com/2022/09/cyber-attacks-against-middle-east.html

Hacking group hides backdoor malware inside Windows logo image
https://www.bleepingcomputer.com/news/security/hacking-group-hides-backdoor-malware-inside-windows-logo-image/

セキュリティ企業・シマンテックのThreat Hunter Teamは2022年9月29日に、ハッカー集団「Witchetty(LookingFrog)」がWindowsのロゴにマルウェアを仕込んでいたのが確認されたと報告しました。

今回特定された攻撃では、画像データなどに不正なコードを隠す「ステガノグラフィー」という技術によりビットマップイメージにペイロードを仕込み、一見無害な画像ファイルとして悪意のあるコードを送り込む手口が用いられました。

以下が、実際に攻撃に使用されたWindowsのロゴの画像です。被害者は、DLLローダでGitHubリポジトリからこのビットマップファイルをダウンロードしましたが、そのファイルにはXORで暗号化されたペイロードが隠されていました。

by Symantec

こうして被害者のネットワークに侵入したマルウェアの「Stegmap」は、実行ファイルのダウンロードや実行、ファイルの操作、プロセスの終了、Windowsレジストリの書き換えといった幅広い機能を有しており、6カ月間もの長期にわたってバックドアとして機能していました。

画像にマルウェアを仕込んでGitHub経由で配布する手口について、シマンテックは「GitHubのような信頼できるホストからのダウンロードは、攻撃者のコマンド＆コントロール(C＆C)サーバーに比べて警戒される可能性がはるかに低いものとなります」と述べました。

発表によると、今回の攻撃を行ったWitchettyは中国のハッカー集団「APT10」とつながりがある「TA410」傘下の3つのチームの1つとのこと。Witchettyは2022年2月から中東2カ国の政府とアフリカの証券取引所を対象としたスパイキャンペーンを展開しており、記事作成時点でも進行中と報じられています。

Witchettyは、2022年4月にESETによって発見された際は、「X4」として知られる第1段階のバックドアと「LookBack」として知られる第2段階のペイロードの2つのマルウェアを使う集団だと報告されました。記事作成時点でもWitchettyはLookBackを使用していますが、今回の報告でさらにStegmapを新しいマルウェアとしてツールセットに加えたことが確かめられました。

こうした点から、シマンテックは「Witchettyは、標的を攻撃するためにツールセットを継続的に改良し、更新する能力を持っていることを実証しました。また、一般公開されているサーバーの脆弱(ぜいじゃく)性を悪用することで組織への侵入経路を確保し、カスタムツールを巧みに使って標的の組織内で長期的かつ持続的にプレゼンスを維持することも可能です」と結論付けました。