一般相対性osugi3yのブログ

14年勤めた企業をやめました。映画「時の行路」尾道市実行委員

シン・すべてがNになる〜不定期連載〜マルウェア「Purple Fox」が進化し、Windowsマシン全体に伝播するようになる

 

マルウェア「Purple Fox」が進化し、Windowsマシン全体に伝播するようになる

 

このマルウェアの新しいワーム機能により、感染率が急速に増加しています。

 By Charlie Osborne for Zero Day|2021年3月24日 -- 11:21 GMT (19:21 SGT) | Topic: セキュリティ

ワーム機能を備えたマルウェア「Purple Fox」のアップグレード版が、急速に拡大している攻撃キャンペーンに投入されています。

 2018年に初めて発見された「Purple Fox」は、これまでエクスプロイトキットやフィッシングメールに依存して拡散していたマルウェアです。しかし、過去数週間にわたって行われている新たなキャンペーン(現在も継続中)では、高い感染数につながる新たな伝播方法が明らかになっています。

 Guardicore Labs社は、火曜日のブログ記事で、Purple Foxは現在、"無差別なポートスキャンと、脆弱なパスワードやハッシュを使って公開されたSMBサービスの悪用 "によって拡散されていると述べています。

f:id:osugi3y:20210326052918p:plain

purple-fox

Guardicore Global Sensors Network(GGSN)の遠隔測定によると、Purple Foxの活動は2020年5月に上昇し始めました。2020年11月から2021年1月にかけて小康状態を保ったものの、全体的な感染数は約600%増加し、現在の総攻撃数は9万件に達しているとのことです。

f:id:osugi3y:20210326053507p:plain

 

f:id:osugi3y:20210326053621p:plain

 

 このマルウェアは、Microsoft Windowsマシンを標的とし、感染したシステムを再利用して悪意のあるペイロードをホストします。Guardicore Labs社によると、初期のマルウェアペイロードをホストしているのは、「脆弱性があり悪用されているサーバーの寄せ集め」であり、その多くは、インターネットインフォメーションサービス(IIS)バージョン7.5やMicrosoft FTPを搭載した古いバージョンのWindows Serverを実行しているとのことです。

 感染の連鎖は、SMBなどの脆弱性を含むインターネットに面したサービス、フィッシングによるブラウザの悪用、ブルートフォース攻撃、RIGなどのルートキットによる展開などから始まります。

 現在のところ、2,000台近くのサーバーがPurple Foxボットネットの運営者に乗っ取られています。

 Guardicore Labs社の研究者によると、ターゲットマシン上でコードの実行が達成されると、コマンドをループさせたり、悪意のあるURLからパープル・フォックスのペイロードを引き出したりする新しいサービスを作成することで、持続性が管理されるとのことです。

 このマルウェアMSIインストーラーは、異なるハッシュを持つWindows Updateパッケージに偽装されています。この機能は、調査の際にマルウェアインストーラー同士が接続されるのを避けるための「安価でシンプルな」方法だとチームは呼んでいます。

 合計で3つのペイロードが抽出され、復号化されます。そのうちの1つは、Windowsファイアウォール機能に手を加え、いくつかのポートをブロックするフィルタを作成しています。

 

また、ポートスキャンを目的としたIPv6インターフェースもインストールされ、「(通常は監視されていない)IPv6サブネット上での拡散効率を最大化する」ために、ルートキットがロードされ、ターゲットマシンが再起動される前に、IPv6インターフェースがインストールされます。Purple Foxは、システムDLLにロードされ、起動時に実行されます。

  その後、パープルフォックスはIPレンジを生成し、ポート445でスキャンを開始して拡散します。

  "445番ポートで送信されるSMBプローブにマシンが応答すると、ユーザー名とパスワードの総当りでSMBを認証しようとしたり、NULLセッションを確立しようとしたりします」と研究者は述べています。

 トロイの木馬/ルートキットインストーラーは、過去の攻撃でローカル・プリビレッジ・エスカレーション(LPE)のバイナリを隠すためにステガノグラフィを採用していました

 

labs.sentinelone.com

 IoC(Indicators of Compromise)は、GitHubで共有されています。

open.spotify.com

 前後の報道

・ハッカーはマルウェアを展開する前にウェブサイトを悪用して優れたSEOを施す

note.com

・Acer、5,000万ドルのランサムウェア攻撃を受けたと報道

Appleの開発者が新種のマルウェア、EggShellバックドアに狙われる