高度なスキルを持つサイバー犯罪者の中には、異なるサービスを開発し、それを低スキルのサイバー犯罪者に販売する者もいます。これは、初心者のサイバー犯罪者がインターネット上で詐欺行為を成功させ、人々を騙したり金銭を盗んだりする道を開くことになります。
サイバー犯罪者の地下世界には「サービスとしての」製品が数多く登場しており、今日では、そのようなサービスを購入できるだけの初期資金さえあれば、サイバー犯罪の世界に飛び込みたいと望むほぼ誰でもそれが可能になる可能性がある。
C2 サービス
Cisco Talosは、作者が「Dark Utilities」と名付けた新しいプラットフォームに関する新たな調査を発表しました。このプラットフォームは2022年初頭にリリースされ、サイバー犯罪者にフル機能のコマンドアンドコントロール(C2)機能を10.30ドル(9.99ユーロ)という非常に低価格で提供することを目的としています。このプラットフォームには約3,000人のユーザーが登録しており、サービスの運営者に約30,951ドル(30,000ユーロ)の収益をもたらしています。
Dark Utilitiesの機能
Dark Utilities はいくつかの機能を提供します (図 A)。
図A
Dark Utilitiesは、標的のシステム上で実行する必要があるコードを提供します。つまり、攻撃者は既にシステムに侵入し、アクセス権を持っている必要があります。プラットフォームが提供するドキュメントには、偵察活動の実施方法や、Dark Utilitiesに追加可能なサーバーへの感染を目的とした脆弱性の特定・悪用方法に関するガイダンスが記載されています。もちろん、特別なスキルを持たない攻撃者でも、サイバー犯罪のアンダーグラウンドから侵入したシステムへのアクセスを購入し、Dark Utilitiesを使用することは可能です。
実行されると、ペイロードはサービスを登録し、C2 通信チャネルを確立します。
Dark Utilities を使用すると、2 種類の分散型サービス拒否 (DDoS) 攻撃が可能になります。1 つは TCP/UDP/ICMP ネットワーク プロトコルをサポートするレイヤー 4 で、もう 1 つは Teamspeak3、Fivem、Gmod、Valve、一部のビデオ ゲームなどの複数のゲーム プラットフォーム向けに特別に設計されたその他のプロトコルです。
レイヤー 7 タイプは、GET/POST/HEAD/PATCH/PUT/DELETE/OPTIONS/CONNECT メソッドをサポートします (図 B)。
図B
Dark Utilitiesには、暗号通貨マイニング機能も搭載されています。これは非常にシンプルで、Monero暗号通貨のマイニングのみを許可し、サイバー犯罪者のMoneroウォレットアドレスを要求するだけです(図C)。
図C
Dark Utilities は、複数のシステムでコマンドを分散的に起動する方法も提供し、Discord グラバーも提供します (図 D)。
図D
ダークユーティリティパネル
Dark UtilitiesプラットフォームはDiscordを多用しています。ユーザーにダッシュボードを提供する前のユーザー認証に使用され、サーバーの健全性やレイテンシなどの基本的な統計情報が表示されます(図E)。
図E
ボットネットに属するすべての侵害されたマシンを処理するための管理者管理パネルも提供されます (図 F)。
図F
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
IPFSペイロード
新しく侵害されたマシンを正常に登録するには、ペイロードを生成して被害者のコンピューターに展開する必要があります。
Dark Utilitiesの現在のバージョンでは、攻撃者はLinux、Windows、Pythonベースの実装など、複数の異なるオペレーティングシステム上でペイロードを起動できます。また、このプラットフォームはARM64およびARMV71アーキテクチャもサポートしており、ルーター、電話、モノのインターネット(IoT)デバイスなどの組み込みデバイスを標的とするのに適していると説明されています。
Dark Utilitiesの最も高度な側面の一つは、これらのペイロードのホスティングにあります。これらのペイロードは、TechRepublicが最近取り上げたInterPlanetary File System(IPFS)に保存されます。IPFSは、クライアントアプリケーションのインストールを必要とせずに動作する分散型ピアツーピアネットワークです。IPFSファイルはIPFSゲートウェイを介してアクセスされるため、データの削除は非常に困難です。インターネットからデータを削除する唯一の方法は、データを共有するすべてのゲートウェイからデータを削除することであるため、「防弾ホスティング」と考えられています。
Talos の研究者は、「攻撃者がペイロードのホスティングと取得にこのインフラストラクチャをますます利用しているのを確認した」と述べており、熟練したサイバー犯罪者は、フィッシング ページやマルウェア ペイロードなど、悪意のあるコンテンツを保存するためにこのテクノロジーをますます利用していくと思われます。
Dark Utilities の背後にいるのは誰ですか?
「inplex-sys」というニックネームはDark Utilitiesを運営しているようですが、この人物が実際にプラットフォームを開発しているという証拠はありません。Talosによると、この人物はサイバー犯罪アンダーグラウンドでの活動歴が長くなく、TelegramやDiscordといったメッセージング/ボットプラットフォームでの活動に限定されています。また、Dark Utilitiesはリリース直後からLapsus$グループ内で宣伝されていました。
同じ名前はビデオゲームストアの Steam でも使用されており、Discord や Twitch プラットフォームでスパム攻撃を実行したりサーバーを管理したりすることを目的とした Dark Utilities やその他の不正ツールの宣伝に使用されています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
この脅威からどのように身を守るのでしょうか?
ダークユーティリティを使用する攻撃者は、独自にコンピュータに侵入する方法を見つける必要があります。基本的な対策を講じることで、侵入を防ぐことができます。
- 一般的な脆弱性に陥らないように、オペレーティング システムとソフトウェアを常に最新の状態に保ち、パッチを適用してください。
- エンドポイントとサーバーにセキュリティ ツールを導入し、常に最新の状態に保ってください。
- 定期的にセキュリティ監査を実行し、そこから明らかになる脆弱性を修正します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
