調査結果は、Cremesの調査レポート(Remsec)を公開したシマンテックの調査結果と一致しました。 その複雑さでは、新しいマルウェアは、Flame、Regin、EvilBunnyなどの既知のサイバー兵器に似ています。 FlameとEvilBunnyの場合、CremesはLuaスクリプトの使用に似ています。 新しいサイバーグループはStriderと呼ばれ、Cremesを使用して被害者から貴重な情報を盗みました。
シマンテックによると、Striderサイバーグループは少なくとも2011年10月から活動しており、ロシア、中国、スウェーデン、ベルギーのさまざまな政府機関からのサイバー攻撃に特化しています。 Striderの特徴は、攻撃者にとって特定の興味深い標的に厳密に焦点を合わせていることであり、サイバー攻撃ではユニークなマルウェアサンプルがよく使用されました。
Cremesは、FlameやReginの場合のように、犠牲者を危険にさらす柔軟性を提供するモジュラーアーキテクチャを使用する真のサイバースパイ活動プラットフォームです。 被害者のコンピューターから重要な情報を盗むことに加えて、Cremesは重要なバックドア機能を実行し、攻撃者が感染マシンのボットにアクセスしてコマンドを送信できるようにします。 Cremesはその作業でLua言語のスクリプトを使用します。この機能は以前Flame(Fiveeyes、Equation)およびEvilBunny(Snowglobe、Animal Farm)で観察されていました。 Cremesはまた、ハッカーグループSednit(APT28、Fancy Bear、Pawn Storm)が以前に使用したことを確認した、隔離されたエアギャップネットワークを侵害するメカニズムも使用しています。
シマンテックによると、Cremesには次のコンポーネントが含まれています。
- ファイル名MSAOSSPC.DLLの特別なブートローダー。ディスクからファイルをダウンロードし、システム上で実行します。 ペイロードファイルはディスク上で暗号化されます。
- マルウェアが次のようなタスクを実行するために使用するLuaモジュール。
- ネットワークから実行可能ファイルをダウンロードし、実行するためにそれらを起動することに特化したネットワークローダー。 これにはRSA / RC6暗号化を使用できます。
- 少なくとも3つの他のLuaモジュールを復号化し、実行中のプロセスにロードするために使用されるホストローダー。 これらのモジュールの名前は、ilpsend、updater、kblog(keylogger)です。
- ユーザーが押したキーに関する情報を取得し、この情報を攻撃者の管理サーバーに送信するために使用されるキーロガー。 このモジュールには、コードに文字列「Sauron」が含まれています。 その機能を考えると、著者はロードオブザリングのすべてを見る目を称えてこのモジュールに名前を付けたと想定できます。
- ICMP、PCAP、RAWなどのプロトコルを介してネットワーク接続をリッスンするネットワークインプラント。
- 名前付きパイプを介して制御し、転送されたファイルを実行できる名前付きパイプに基づく単純なバックドア。
- 名前付きパイプに基づく拡張バックドアは、その前身とは異なり、ファイルを変更するための他のコマンドを受け入れることもできます。
- C&Cサーバーを管理するための複数のURLを含むHTTPバックドア。
カーネルモードでコードを実行するために、Cremesコンポーネントは、非標準のアプローチを使用できます。これは、レガシーAgnitum OutpostおよびAVAST正当なドライバーの脆弱性を悪用することです。 ドライバーはCremesコンポーネントにあります。
図 Cremesが使用する正当なAgnitum Outpostドライバーに関する情報。
ESETウイルス対策製品は、ユニバーサルシグネチャでStriderサイバーグループマルウェアを検出します。
Win32 /クリーム
Win64 /クリーム
www.virusradar.com