AZORult マルウェア

AZORultマルウェアとは?

AZORultマルウェア(別名PuffStealerおよびRuzalto)は、2016年に初めて検出された情報および暗号通貨を盗むマルウェアです。AZORultは他のステーラーやトロイの木馬型マルウェアほど巧妙ではありませんが、初期アクセスを獲得し、リモートアクセス経由でランサムウェア攻撃などのエクスプロイト後の活動を実行するための第1段階および第2段階の機能を備えています。最初はDelphiプログラミング言語で書かれていましたが、2019年にC++に移植され、使いやすいと考えられており、初心者の脅威行為者が攻撃を構成し展開することができます。

AZORultの機能の中には、人気のゲームアプリケーションの認証情報を盗んだり、暗号通貨ウォレットの認証情報を求めて侵害されたシステムをスキャンしたりすることで、ゲーマーや暗号通貨所有者などの消費者ユーザーをターゲットにしたものもあります。AZORultは、トロイの木馬化された商用ソフトウェアで被害者を誘い込むキャンペーンを使用しています。マルバタイジングは、AZORultが組織ではなく個人をターゲットに設計されていることを示しています。2020年のAZORultキャンペーンは、COVID-19パンデミックアップデートを活用して被害者を狙い、感染させました。 

AZORultは主にロシアのアンダーグラウンド・ハッカー・フォーラムで販売されており、AZORultによる攻撃のほとんどはロシアのIPアドレスにリンクされており、AZORultで盗まれたデータは通常ロシアのダークウェブ・マーケットプレイスで販売されている。

AZORult最新ニュース

AZORultの仕組み(TT&P)

ファーストステージとセカンドステージの両方の機能を持つAZORultは、被害者のコンピュータに初期アクセスしたり、リモートコマンドを実行したりすることができます。AZORultは、リモートデスクトッププロトコル(RDP)認証のブルートフォースなどの方法を使用することが確認されていますが、最も一般的な初期アクセスの手口は以下のとおりです:

  • ユーザーを悪意のあるウェブサイトに誘導したり、悪意のあるVBAマクロを含むMicrosoft Officeの添付ファイルを開かせるフィッシングやマルスパムキャンペーン 
  • トロイの木馬に感染したインストーラを含む海賊版アプリケーションやメディアをダウンロード提供すること。
  • ハッキングされたウェブサイトを乗っ取り、訪問者に悪意のあるコンテンツを提供したり、ユーザーを他の攻撃者が管理するサイトにリダイレクトさせたりする。
  • ユーザーを悪意のあるウェブサイトへ誘導したり、トロイの木馬に感染したアプリケーションをダウンロード・インストールするよう誘引する、正規のウェブサイト上の不正広告。
  • トレントサイトやダークウェブ・フォーラムを通じて提供される人気ソフトウェア・アプリケーションの偽インストーラー

AZORultは最初のアクセスを獲得し、プライマリペイロードを実行した後、機密性の高いユーザーデータを盗み出します。次に、コマンド&コントロール(C2)サーバーに接続し、標準的なHTTP POSTリクエストを介して盗んだデータをアップロードします。盗まれたデータは暗号化され、少し修正されたPKzipアルゴリズムを使って圧縮され、盗まれたデータがネットワークから出る際にデータ損失防止ツールによって簡単に分析されるのを防ぎます。

AZORultは、以下のようなシステムデータや認証情報を狙って盗み出すことができる:

  • ペイメントカード番号を含む財務データ
  • プライベートウォレットキーを含む暗号通貨認証情報
  • アクティブセッショントークンを含む可能性のあるインターネットブラウザのパスワード自動入力キャッシュおよびクッキーキャッシュ
  • インターネット閲覧履歴キャッシュ 
  • Steam、Telegram、Microsoft Outlook、Skypeなどのアプリケーションからの認証情報
  • システム構成情報、RDPやVPNの認証情報などの機密システムファイル
  • 感染したシステムのデスクトップのスクリーンショット

AZORultの最近のバージョンは、セキュリティツールによる検出を回避するために、プロセスインジェクション(別名プロセスホロリング)とリビングオフザランド(LOTL)のテクニックを使用しています。つまり、このマルウェアは正規のプロセスをハイジャックし、Windowsシステム上にプリインストールされている既存のツールを使用して目的を達成します。

AZORultの異なるバージョンは、持続性を維持するために様々な戦術を使用します。それでもなお、Azorultが使用する斬新でステルス的な手法の1つは、Chromeブラウザの更新コンポーネントGoogleUpdate.exeを自身の悪意のある実行ファイルに置き換えることだ。これにより、Google Chromeがアップデートをチェックする際に攻撃者のコードが実行される。この手口では、システムの再起動直後にマルウェアを確実に実行することはできませんが、マルウェアの持続的な実行方法を効果的に隠すことができます。

AZORult攻撃の兆候

AZORultは悪意のあるMicrosoft Officeドキュメントに含まれている可能性があるため、VBAマクロの実行許可を要求するドキュメントはアクティブな攻撃を示している可能性があります。AZORultはまた、Autoitスクリプトを使用してWindows GUIインタラクションを自動化し、主要なペイロードを実行する可能性もあります。

他のマルウェアと同様に、典型的なAZORult感染は、ハードコードされたC2ドメインまたはIPアドレスに到達し、窃取したデータを流出させます。ブロックされた宛先のネットワーク・トラフィックを監視することで、感染を特定できる場合もあります。それ以外の場合、AZORultのLOTLアプローチにより、その活動のほとんどは、主にsmpchost.exeなどの通常のWindowsシステムプロセスとして密かに隠蔽されます。

AZORult攻撃を防ぐ方法

  • すべての重要なサービス、特にオンラインバンキングや暗号通貨口座に関連するサービスに対して、多要素認証を実施する。
  • デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされるようにする。
  • コンテンツ・プロキシを使ってインターネットの利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。
  • ユーザー意識向上トレーニングを検討し、フィッシング・テクニックに関する最新情報を入手する。
  • Officeアプリケーションが、通知なしにすべてのマクロを無効にするか、デジタル署名されたマクロ以外の設定をすべて無効にするように構成されていることを確認する。
  • 電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する通知には特に注意してください。

CylanceOPTICS AZORultを防ぐ

脅威行為者は AZORult を使用して、システム情報、閲覧履歴、Cookie、ブラウザに保存された ID/パスワード、暗号通貨情報などを盗み出します。CylanceOPTICS®は、何百万もの安全なファイルと安全でないファイルの両方で脅威検出のために訓練された人工知能ベースのエージェントを使用しています。これにより、特定のファイルシグネチャではなく、無数のファイル属性に基づいて脅威を検出し、AZORult をブロックします。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース