Flashpointは今年、Seidrマルウェアを含むインフォスティーラーの広告販売が増加していることを観測しています。本ブログではこのSeidrを詳しく調査するとともに、どのように動作しているのかについて解説します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年6月5日付)を翻訳したものです。
情報窃取型マルウェア(インフォスティーラー)は、あちこちで出回っている最も危険なマルウェアの1つとして登場し、セキュリティチームと脅威アクターの双方から同じように注目を集めています。Flashpointは今年、インフォスティーラーの販売量が非常に増えていることを観測しており、過去7年間を振り返っても不法マーケットプレイスにおけるこれらの販売数は飛躍的に増加しました。その中にはSeidrマルウェアも含まれています。
要点
– SeidrはTelegramを活用し、情報の持ち出しとコマンド&コントロール(C2)を行う情報窃取型マルウェア。
– このスティーラーはビットデータを反転させるXOR暗号化を実行し、トークンや経路など検出につながりやすい情報を難読化する。
– 暗号資産のデスクトップウォレットやブラウザの拡張機能がターゲット。
– 防衛回避策が導入され、セキュリティ分析やデバッグに関連する特定のプロセスをブラックリストに登録することで検出と分析を回避。
情報窃取型マルウェア「Seidr」とは?
Seidrマルウェアは2023年の終わりに初めて確認された新興のスティーラーで、システムの名称やユーザー名、OSのバージョン、ディスプレイの解像度、ハードウェアIDといった包括的なシステム情報を収集します。C++で作成されているこのマルウェアは、暗号通貨クリッパーとキーロガーを同時に運用するセカンドステージのモジュールを展開できるゆえに強力な脅威となっているほか、暗号化技術を駆使し、セキュリティ分析やデバッグに関連する特定のプロセスをブラックリストに載せるなどして、検出を回避しています。
現在のところ、Seidrは不法マーケットプレイス上で販売されており、開発者はTelegramボットとともに使用できるローダーとドロッパーを提供しています。このマルウェア種のアップデート版であるGARMRは最近売りに出されたもので、永久アクセスプランは2,000ドルで提供されています。GARMRの容量は500KBよりも小さく、Seidrを2時間ごとに再生できるほか、ディスクを使うことなくバイナリをダウンロードして実行することができます。
不法マーケットプレイスで見つかったSeidrの広告(画像入手元:Flashpoint Ignite)
ある不法フォーラムで宣伝されているSeidrのアップデート版「GARMR」(画像入手元:Flashpoint Ignite)
Seidrの戦術、技術、手順(TTP)
Flashpointのアナリストは、Seidrが使用する高度な武器を分析しました。以下の表はSeidrが用いる戦術、技術、手順(TTP)の一部を概説したものです。
戦術 | ID | 概要 |
永続化 | T1547 | ブートまたはログオン時の自動実行 |
権限昇格 | T1547 | ブートまたはログオン時の自動実行 |
防衛回避 | T1497 | 仮想化/サンドボックスの存在を確認して、検出または解析を回避 |
認証情報アクセス | T1056 | インプットキャプチャ:キーロギング |
探索 | T1012 | Windowsレジストリと対話して、システム、構成、およびインストールされているソフトウェアに関する情報を収集 |
探索 | T1057 | システムで実行中のプロセスに関する情報を取得 |
探索 | T1082 | システム情報を取得 |
探索 | T1614 | システムの所在地に関する情報を取得 |
収集 | T1005 | ローカルシステムからデータを収集 |
収集 | T1560 | 集めたデータをアーカイブ |
収集 | T1056 | インプットキャプチャ:キーロギング |
持ち出し | T1567 | Webサービスを介した持ち出し |
T1547 – 永続化 – ブートまたはログオン時の自動実行
Seidrはディレクトリを作成して既知のフォルダーパスを取得し、レジストリキーを作成。さらにレジストリ内にSEIDRという値をセットすることで、持続性のメカニズムを設定します。この機能により、システムを再起動する際に永続性を維持できるようになります。
レジストリキーにより持続性が維持されている。(画像入手元:Flashpoint)
T1497 – 防衛回避 – 仮想化/サンドボックスの存在を確認して、検出または解析を回避
FlashpointのアナリストがSeidrのリバースエンジニアリングを行ったところ、デバッグを阻止する目的で以下のプロセスが使われたり、偵察されたりしていることが判明しました。
プロセス名 | 定義 |
apatedns.exe | Apatar DNS:DNSリクエストを操作 |
cmd.exe | コマンドプロンプト:Windowsのコマンドラインインタプリタ |
cffexplorer.exe | CFF Explorer:PEファイルを解析 |
cuckoo.exe | Cuckoo Sandbox:自動のマルウェア解析システム |
dumpcap.exe | Dumpcap:Wiresharkのネットワークキャプチャツール |
fiddler.exe | Fiddler:Webデバッギングプロキシ |
ghidra.exe | Ghidra:リバースエンジニアリングのソフトウェアスイート |
immunitydebugger.exe | Immunity Debugger:マルウェア解析用デバッガー |
msconfig.exe | システム構成:Windowsの構成を設定 |
procexp.exe | Process Explorer:プロセスに関する問題を管理・診断 |
procexp64.exe | Process Explorer(64ビット版):プロセスを管理・診断 |
processhacker.exe | Process Hacker:プロセスを閲覧・操作 |
python.exe | Python executable:Pythonスクリプトを実行 |
python3.exe | Python 3 executable:Python 3スクリプトを実行 |
pythonw.exe | Python executable(Windows):Pythonスクリプトを実行 |
r2.exe | Radare2 CLI:リバースエンジニアリング用インターフェース |
radare2.exe | Radare2:リバースエンジニアリング用フレームワーク |
regedit.exe | レジストリエディター:Windowsレジストリを編集 |
regshot.exe | Regshot:レジストリおよびファイルシステムのスナップショットを取得 |
sysmon.exe | Sysinternals Sysmon:システムアクティビティを監視 |
Taskmgr.exe | Windows Task Manager:Windowsのタスクを管理 |
tcpview.exe | TCPView:ネットワーク接続を監視 |
wireshark.exe | Wireshark:ネットワークプロトコルを分析 |
x32dbg.exe | 32-bit debugger:32ビットのアプリケーションをデバッグ |
x64dbg.exe | 64-bit debugger:64ビットのアプリケーションをデバッグ |
Seidrには仮想マシンをチェックする機能も備わっています。この機能はマルウェアが仮想マシン上にデプロイされたことを検知すると、静的解析を回避するためにプロセスを自動的に終了します。
Seidrはまた、リトルエンディアンの値の配列に対してXOR演算による反転を実行します。この暗号化は、抜き取られたデータの送信に使われるTelegramトークンを難読化するために使用されます。
反転を伴うXOR暗号化ルーチンの擬似コード(画像入手元:Flashpoint)
T1005 – 収集 – ローカルシステムからデータを窃取
ブラウザ上で収集を実行する前に、Seidrはオープンプロセスと特定のブラウザをチェックします。
仮想マシンを検出し、オープンプロセスをチェックするルーチンを示す疑似コード(画像入手元:Flashpoint)
T1560 – 収集 – 集めたデータをアーカイブ
システムが分析マシンなのか、仮想マシンなのか、あるいはサンドボックスマシンなのかを判断するために、収集されたシステム情報がコンパイルされます。これらはまた、脅威アクターに送られる最終的な情報と共にzipアーカイブにパッケージ化されます。
Seidrからシステム情報が収集されていることを示す疑似コード(画像入手元:Flashpoint)
T1056 – 収集 – インプットキャプチャ:キーロギング
クリッパー機能が正規表現を使ってウォレットの種類を判別し、このスティーラーがコピーされたウォレットアドレスを攻撃者のものに置き換えます。Seidrは以下の暗号資産を標的にしています。
- ビットコイン
- イーサリアム
- ライトコイン
- モネロ
- リップル
T1560 – 収集 – 集めたデータをアーカイブ
Seidrは、攻撃者がデスクトップウォレットへアクセスするのに利用できるデータを収集します。以下のデスクトップウォレットが標的にされています。
- モネロ
- マルチドージ
- エレクトラム
- エレクトラムキャッシュ
ただしSeidrはシステムをスキャンし、特に以下の暗号ウォレットとChrome拡張機能のIDがないかを調べます。
- BNBチェーンウォレット
- コインベース
- コイン98ウォレット
- エレクトラムビットコインウォレット
- Fersウォレット
- Ferzウォレット
- Jaxx Liberty
- KardiaChainウォレット
- Mathウォレット
- MetaMask
- Niftyウォレット
- Roninウォレット
- Saturnウォレット
- Terraウォレット
T1567 – 持ち出し – Webサービスを介した持ち出し
Telegramを使い、アーカイブされたログファイルを攻撃者のTelegramチャンネルに送信します。
IDA擬似コードにTelegram APIパラメータが含まれている(画像入手元:Flashpoint)
システム情報やウォレット、ブラウザのパスワード、キーロギングなど、スティーラーが集めたデータを含む最終的なzipアーカイブをFlashpointのアナリストが収集しました。
解析によって収集されたマルウェアから生成されたLOGファイル(画像入手元:Flashpoint)
Flashpointを活用し、常にサイバー脅威の一歩先へ
脅威アクターにとって、インフォスティーラーは入手が簡単で使いやすく、購入にあたって多くの費用を必要としません。そんな理由から不法コミュニティでは需要が高く、有害なアクターたちが新旧多くのインフォスティーラーと共にSeidrを使い続けています。こういった攻撃者たちは防御策を回避する能力を高めるために、さまざまな亜種の改良と開発に余念がありません。だからこそ、Seidrがどのような情報窃取型マルウェアなのか、そしてどのように動作しているかを理解することは、サイバーセキュリティ対策を強化する上で欠かせないのです。Flashpointの脅威インテリジェンスには自動化されたデータ収集プロセスとアナリストの人知がシームレスに統合されており、急速に進化する脅威ランドスケープについての的確な知見をお届けいたします。包括的な脅威インテリジェンスを活用することで、インフォスティーラーが組織にもたらす潜在的なリスクを軽減できるのです。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
Flashpointについて詳しくは、以下のフォームからお問い合わせください。
Writer
米国留学後、まず翻訳会社で進行管理・渉外を担当し、その後はパン職人など異業種を経てフリーランスの翻訳家に転身。ヨーロッパのサッカーを中心に、各種スポーツや現代美術、ゲームといった分野で長らく英日翻訳に携わる。2023年夏、サイバーセキュリティをめぐる昨今の状況に危機感を覚え、その実状を幅広い読者に伝えたいという思いでマキナレコードの翻訳チームへ。
大学卒業後、新卒で区役所に入庁し各種事務業務を担当。その後キャリアチェンジのため一般企業へ入社し、システムエンジニアの業務を経験。2023年2月よりマキナレコードの翻訳業務に携わる。