本ブログでは「PureLogs」とは何なのか、そしてこの新たな脅威から組織を守る方法について説明します。さらに詳しく知りたい場合は、Flashpoint Igniteのアナリストレポート全文をご覧ください。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。
インフォスティーラー(情報窃取型マルウェア)には数えきれないほどの種類が存在する上、それぞれが独自のシステム侵害手法やデータ窃取手法を備えていることから、そのランドスケープは活況を呈しながら常に進化する市場となっています。脅威アクターたちにとって、盗まれたデータは宝の山と同じ価値があり、被害者のブラウザに保存されているすべてのユーザー名やパスワード、クレジットカード番号など、機微情報に満ちた宝箱への道筋を提示します。
インフォスティーラーは参入障壁が低く、価格も手頃で使いやすいため、高度な技術を持たない脅威アクターでも簡単に活用することができます。だからこそ、そのリスクは大幅に増大しているのです。今年に限っても、Flashpointで観測された認証情報の侵害事例は5,300万件以上あり、デバイスの感染件数も1,300万を超えました。今日の脅威ランドスケープにおいて、PureLogsのような新種に関する最新情報を入手し続けることは、セキュリティ専門家にとって極めて重要です。
PureLogsとは?
PureLogsはC#で記述された64ビットの情報窃取型マルウェアで、市販のパッカー「.NET Reactor」でパックされた多段階のアセンブリを使用します。このスティーラーはChromeブラウザから機微データを採取することが可能で、同じ機能はLumma、Vidar、Meduzaなど一部のマルウェアにしか備わっていません。
PureLogsが活用する戦術・技術・手順は以下の通りです。
MITRE ATT&CKのテクニックID | 説明 |
T1140 | ファイルまたは情報の難読化解除/デコード |
T1082 | システム情報の検出 |
T1083 | ファイルおよびディレクトリの検出 |
T1005 | ローカルシステムのデータ |
T1071 | アプリケーションレイヤープロトコル |
PureLogsは2022年に初めて不法マーケットプレイスで売りに出されて以来、アンダーグラウンドのさまざまなフォーラムで宣伝されてきました。また、クリアネット上でも専用のマーケットプレイスで存在感を保っています。このWebサイトを通じて直接購入することはもうできなくなっていますが、現在では購入希望者をTelegramボットに誘導して連絡や問い合わせに対応しています。PureLogsは最も安価なインフォスティーラーの1つで、 価格は1か月99米ドル、3か月199米ドルとなり、1年間で299米ドル、永久アクセスは499米ドルに設定されています。
このインフォスティーラーの開発者はその他の「製品」も売りに出しており、暗号資産マイナーやクリップボード書き換えツール(クリッパー)、DDoS機能を備えたボットネット、隠しVNC(Virtual Network Computing)クライアントを脅威アクターに提供しています。
PureLogsの仕組み
第1段階:ロードと実行
第1段階では、CBC(Cipher Block Chaining)モードでAES(Advanced Encryption Standard)方式のアルゴリズムを使って復号されるbyte配列が使われます。ここで使われるAESキーと初期値は、Base64形式にエンコードされた文字列としてバイナリの中にハードコードされています。

第1段階のC#で書かれたコード。コードに組み込まれたbyte配列のAES復号が示されている。
このバイナリはその後解凍され、C#の動的リンクライブラリ(DLL)になります。このDLLはリフレクションを介してメモリ内でロード・実行されます。

第1段階のC#コード。リフレクションを介して第2段階のペイロードをロード・実行する。
第2段階:ペイロードとアンチサンドボックスの検証
第2段階のアセンブリは、最後にインフォスティーラーのコードをロードする前にアンチサンドボックスをチェックし、ネットワークを確立する役割を担っていると思われます。まず、このプロセスでロードされたDLLがあるかどうかを検証し、次にこのプロセス名が「cmd」になっているかどうかを確認するために、親プロセスID(PPID)をチェックします。このアセンブリのオリジナル版は元のプロセスのメモリに動的にロードされているため、PPIDが存在することはあり得ません。

第2段階のバイナリで行われる親プロセスIDのチェック。
その後、ハードウェア情報を取得し、「VMWare」や「Virtual」といった文字列があるかどうかを確認すべく、複数のWMIクエリを実行します。ここではモニターのサイズや、アーキテクチャのビット数、ユーザー名をチェックします。サンドボックスや仮想マシンは多くの場合、ベアメタルPCよりも解像度が低くなっています。PureLogsは64ビットのアーキテクチャ用にコンパイルされるため、この環境が欠かせません。最後にサンドボックス関連のユーザー名をチェックします。

モニターのサイズやアーキテクチャ、ユーザー名をチェックする第2段階のC#コード。
すべてのチェックを通過すると、PureLogsはコマンド&コントロール(C2)サーバーとの接続を確立します。このマルウェアはTor Expert Bundleをダウンロード・実行することでトラフィックをTor経由でルーティングでき、脅威アクターはビルドプロセス中にOnionアドレスとポートを盛り込むことができます。ネットワークが構築されると、最終段階のペイロードが復号・解凍され、バイトの反転の後にメモリ内で実行されます。
第3段階:データの取得
第3段階のアセンブリには情報窃取を行うためのコードが書かれており、具体的には以下の情報を取得します。
- 閲覧データ
- Chrome、Edge、Operaの各種拡張機能
- 暗号資産ウォレットアプリ
- デスクトップのアプリケーション
- 被害者のマシンに関する情報
PureLogsの設定は変更が可能で、指定した拡張子のフォルダやファイル、あるいは指定した名前や場所のファイルを盗ませることができます。リモートURLから追加のペイロードをダウンロード・実行することも可能です。
また、抜き出した情報は設定中にTelegramへ送信することができます。PureLogsのパネルから送られるTelegramメッセージには、被害者に関する情報や盗まれたアイテムの数、スクリーンショット、ダウンロード可能なフルのログファイルが掲載されています。
Flashpointを活用し、スティーラーの脅威が増すこの状況を切り抜けよう
PureLogsがアンチウイルスに検知される可能性を下げるためにリフレクションを多段階にわたって行うことや、C#で記述された市販のパッカーを利用していることを踏まえると、このマルウェアは脅威アクターの間でますます人気を高めていくことが予想されます。PureLogsは継続的にアップデートされている上、スティーラー市場では最も安価な商品の1つであり続けています。
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。