マルウェア「Purple Fox」が進化し、Windowsマシン全体に伝播するようになる
このマルウェアの新しいワーム機能により、感染率が急速に増加しています。
By Charlie Osborne for Zero Day|2021年3月24日 -- 11:21 GMT (19:21 SGT) | Topic: セキュリティ
ワーム機能を備えたマルウェア「Purple Fox」のアップグレード版が、急速に拡大している攻撃キャンペーンに投入されています。
2018年に初めて発見された「Purple Fox」は、これまでエクスプロイトキットやフィッシングメールに依存して拡散していたマルウェアです。しかし、過去数週間にわたって行われている新たなキャンペーン(現在も継続中)では、高い感染数につながる新たな伝播方法が明らかになっています。
Guardicore Labs社は、火曜日のブログ記事で、Purple Foxは現在、"無差別なポートスキャンと、脆弱なパスワードやハッシュを使って公開されたSMBサービスの悪用 "によって拡散されていると述べています。
Guardicore Global Sensors Network(GGSN)の遠隔測定によると、Purple Foxの活動は2020年5月に上昇し始めました。2020年11月から2021年1月にかけて小康状態を保ったものの、全体的な感染数は約600%増加し、現在の総攻撃数は9万件に達しているとのことです。
このマルウェアは、Microsoft Windowsマシンを標的とし、感染したシステムを再利用して悪意のあるペイロードをホストします。Guardicore Labs社によると、初期のマルウェア・ペイロードをホストしているのは、「脆弱性があり悪用されているサーバーの寄せ集め」であり、その多くは、インターネットインフォメーションサービス(IIS)バージョン7.5やMicrosoft FTPを搭載した古いバージョンのWindows Serverを実行しているとのことです。
感染の連鎖は、SMBなどの脆弱性を含むインターネットに面したサービス、フィッシングによるブラウザの悪用、ブルートフォース攻撃、RIGなどのルートキットによる展開などから始まります。
現在のところ、2,000台近くのサーバーがPurple Foxボットネットの運営者に乗っ取られています。
Guardicore Labs社の研究者によると、ターゲットマシン上でコードの実行が達成されると、コマンドをループさせたり、悪意のあるURLからパープル・フォックスのペイロードを引き出したりする新しいサービスを作成することで、持続性が管理されるとのことです。
このマルウェアのMSIインストーラーは、異なるハッシュを持つWindows Updateパッケージに偽装されています。この機能は、調査の際にマルウェアのインストーラー同士が接続されるのを避けるための「安価でシンプルな」方法だとチームは呼んでいます。
合計で3つのペイロードが抽出され、復号化されます。そのうちの1つは、Windowsのファイアウォール機能に手を加え、いくつかのポートをブロックするフィルタを作成しています。
また、ポートスキャンを目的としたIPv6インターフェースもインストールされ、「(通常は監視されていない)IPv6サブネット上での拡散効率を最大化する」ために、ルートキットがロードされ、ターゲットマシンが再起動される前に、IPv6インターフェースがインストールされます。Purple Foxは、システムDLLにロードされ、起動時に実行されます。
その後、パープルフォックスはIPレンジを生成し、ポート445でスキャンを開始して拡散します。
"445番ポートで送信されるSMBプローブにマシンが応答すると、ユーザー名とパスワードの総当りでSMBを認証しようとしたり、NULLセッションを確立しようとしたりします」と研究者は述べています。
トロイの木馬/ルートキットのインストーラーは、過去の攻撃でローカル・プリビレッジ・エスカレーション(LPE)のバイナリを隠すためにステガノグラフィを採用していました。
IoC(Indicators of Compromise)は、GitHubで共有されています。
前後の報道
・ハッカーはマルウェアを展開する前にウェブサイトを悪用して優れたSEOを施す
・Acer、5,000万ドルのランサムウェア攻撃を受けたと報道
・Appleの開発者が新種のマルウェア、EggShellバックドアに狙われる