アライグマ

Raccoon Infostealerマルウェアとは?

2019年4月に初めて観測されたRaccoon Infostealer(別名Racealer)は、ダークウェブのフォーラムで販売されている、シンプルだが人気があり、効果的で安価なMalware-as-a-Service(MaaS)です。ラクーンのペイロードは、32ビットおよび64ビットのシステムWindowsベースのシステムに感染するように設計されたモジュラーC/C++バイナリです。Raccoon stealer は、ブラウザの自動入力パスワード、履歴、クッキー、クレジットカード、ユーザー名、パスワード、暗号通貨ウォレット、その他の機密データを狙います。 

2022年初頭、ラクーンはウクライナ戦争の影響を受け、一時的に運用を停止した。しかし2022年6月、ラクーンはアップグレードされたインフラと完全に再構築されたペイロードを含む最新バージョンで戻ってきた。2022年10月、ウクライナを拠点とするラクーン・グループのメンバーが、ラクーンの開発に参加した疑いで、コンピューター詐欺・乱用防止法違反の共謀罪で 当社 、大陪審により起訴された。26歳のマークは以前、ロシアとウクライナの戦争で殺されたと死を偽装していた。

Raccoonは数十万件の感染を引き起こし、世界のサイバーセキュリティに与えた影響という点では、多発するAzorultステラー・マルウェアに匹敵します。最盛期には、ラクーンはハッカー・フォーラムで最も議論されたマルウェアの1つであり、運営者はラクーンを宣伝し、サイバー犯罪者にクライアント・サポートを提供していた。ラクーンのMaaSは、週75ドル、月200ドルしかかからない。

ラクーン・インフォステア最新ニュース

ラクーン・インフォステーラーの仕組み

Raccoonは実行時に、二重感染を避けるため、ターゲット・システム上にミューテックス(%UserName% + "m$V1-xV4v")が存在するかどうかをチェックします。見つからない場合、ラクーンはミューテックスを作成し、ターゲット・システムのフィンガープリントを作成し、そのデータをコマンド・アンド・コントロール(C2)前哨基地の1つに送信します。ラクーンは通常、C2オペレーションにTelegraphまたはDiscordを使用する。RacconのC2ホストの位置は、base64エンコーディングとRC4暗号化を使ってペイロードの中で難読化される。そこから、Raccoonはプロセスインジェクション技術を使用して、正規のexplorer.exeプロセスを乗っ取り、昇格した権限で新しいプロセスを生成します。

ターゲットのシステムプロファイルに応じて、Raccoonは正規のWindows DLLのコピーをインポートし、よく知られたアプリケーションから機密情報を抽出し、ターゲットとなるアプリケーションごとに標準的なプロセスを実行する。このプロセスでは、まず各アプリケーションの機密情報のキャッシュを探し出し、元のキャッシュファイルを一時フォルダにコピーし、キャッシュから機密データを抽出して暗号化し、最後にラクーンのメイン・オペレーティング・ディレクトリに内容を書き込みます。 

ブラウザの場合、Raccoonはsqlite3.dllを使用してアプリケーションのSQLiteデータベースを照会し、ユーザーの自動ログインパスワード、クレジットカードデータ、クッキー、ブラウザ履歴を盗み出します。Raccoonはまた、以下のアプリケーションからデータを盗むためのカスタムモジュールを持っています:

  • 暗号通貨アプリケーション:デフォルトの場所にあるウォレットデータファイルを探すことで、Exodus、Monero、Jaxx、Binanceなどを抽出します。
  • パスワードマネージャー:Bitwarden、1Password、LastPassのデータをデフォルトの場所から抽出します
  • 電子メールクライアント:Outlook、ThunderBird、Foxmailから電子メール通信を抽出します
  • その他のアプリケーション: Steam AuthorisationやSteam Sentry File、Discord、Telegramアカウントのログイン情報など、 Steamゲームプラットフォームのデータを抽出します。

また、Raccoonのバージョンによっては、特定の条件下でTLS暗号化を破り、感染したホストのインターネット接続を効果的に中間者(Man-in-the-Middle:MiTM)にすることが可能です。特に、Raccoonのいくつかのバージョンでは、ターゲットのユーザー言語設定識別子をチェックし、ロシア語、ウクライナ語、ベラルーシ語、カザフ語、キルギス語、アルメニア語、タジク語、またはウズベク語のロケーションが検出された場合、動作を停止します。しかし、特定のグループを保護するためのこの安全対策は、時々しか採用されない。

アライグマ侵入者攻撃の兆候

ラクーンは、高度に洗練されたアンチ解析および検出回避メカニズムを採用していないため、エンドポイント検出および応答製品などの高度なITセキュリティ・ソリューションによって効果的に検出され、その実行を阻止することができます。

アライグマの侵入を防ぐには

Raccoon Infostealer攻撃を防御する最善の方法は、すべてのデバイスに高度なエンドポイントプロテクションを採用し、盗まれた認証情報がアカウントの乗っ取りにつながるのを防ぐために、多要素認証を含む強力なアクセス制御を実施することです。 

アライグマの襲撃から身を守るために役立つ活動がある:

  • フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書(SOP)を作成する。
  • 最小特権、役割ベースのアクセス制御、多要素認証、徹底的な防御など、強力なネットワーク・セキュリティを導入し、盗まれた認証情報の潜在的な損害を軽減する。 
  • すべてのエンドポイントに高度なエンドポイントセキュリティ製品をインストールおよび設定し、侵害の指標(IOC)を検出し、ラクーンペイロードの実行をブロックする防御措置を講じる。
  • 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。 

BlackBerry サイバーセキュリティがアライグマの情報強奪を防ぐ

当社のAIを活用したBlackBerry Cylance サイバーセキュリティ・ソリューション、およびマネージド・ディテクション&レスポンス(MDR)ソリューションをご紹介します。 CylanceGUARD®は、Raccoon infostealerの背後にいるような脅威アクターがもたらすリスクを軽減するための十分な設備が整っています。
ビデオを見る

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース