ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

ロシアのアンダーグラウンドマーケットに出現した BlackGuard インフォスティーラ

本ブログ記事は、2022年4月21日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。


ロシアのアンダーグラウンドマーケットで台頭してきた BlackGuard は、最新の .NET ベースのインフォスティーラです。他のインフォスティーラほど幅広い機能を持ちませんが、ウェブブラウザー、暗号通貨サービス、コールドウォレット(資産をオフラインで保管してセキュリティを高めた暗号通貨ウォレット)に対応しています。

BlackGuard は、ArkeiBHunt Scavengerと同様に、被害者のデバイスから重要な情報を抽出する機能を備えています。さらに、VPN クライアント、インスタントメッセージングサービス、FTP クライアント、VoIP サービスをターゲットにします。

BlackGuard は、最近のマルウェアのトレンドにのって、MaaS (Malware-as-a-Service)として販売と配布がされています。背後にいる脅威グループは、月額のサブスクリプションと生涯パスの両方を提供しています(「生涯」は「作者が逮捕されるまで」と読み替えてください)。

BlackGuard を最初に発見したのはZScaler の研究者らでしたが、弊社のアナリストがその細部を知るために詳しく調査したところ、価値の高いターゲットを評価する機能やデフォルトブラウザーのチェックなど、それまでに報告されていなかった機能が発見されました。このブログには、脅威アクターの販売スレッドから拾ったスクリーンショットも掲載しています。
 

CylancePROTECT® がBlackGuard Infostealer を予想防御でブロックする様子は、次の動画をご確認ください。
 

デモ動画:CylancePROTECT® がBlackGuard Infostealer を予想防御でブロック
 

 

オペレーティングシステム


リスクと影響


技術的解析

BlackGuard インフォスティーラは、古く廃れた脅威が残していった隙間にうまく収まっています。他のマルウェア作者なら相当の追加料金を請求するような難読化を、比較的低価格で提供しています。また、使いやすく、さまざまなフォーラムで販売されているため入手も容易です。


耐解析チェック

BlackGuard は、実行時に耐解析チェックと耐検知チェックを行い、サンドボックス内で動作しているかどうかや、特定の種類のアンチウイルスソフトウェアがインストールされているデバイス上で動作しているかどうかを確認します。次の表に挙げた動的リンクライブラリ(.DLL: Dynamic-Link Library)の存在を検知すると、実行して検知されることを防ぐために、自身を停止しようとします。

DLL 名

アプリケーション名

SbieDll.dll

Sandboxieサンドボックス

SxIn.dll

360 Total Security

Sf2.dll

Avast Antivirus

snxhk.dll

Avast Antivirus

cmdvrt32.dll

COMODO Internet Security


また、BlackGuard は、「IP-Whois」クエリを行って、被害者のおおまかな所在地を特定します。一部のサンプルでは、この機能を利用して特定の東欧諸国での実行を中止しています。このことは、作者の所在地に関する疑念を裏付けていると思われます。

私たちが解析したサンプルでは、被害者の所在地が次の国である場合に実行を止めています。

  • アルメニア
  • モルドバ

 

  • アゼルバイジャン
  • タジキスタン

 

  • ベラルーシ
  • ウズベキスタン

 

  • カザフスタン
  • ウクライナ

 

  • キルギスタン
  • ロシア

 



文字列の難読化

BlackGuard は、人間にも読みやすい .NET というプログラミング言語で作成されています。このような透明性を損なうために、「"Obfuscar」という .NET 用難読化ツールを使っています。難読化によりソースコードが人間にとって理解困難な形になるためマルウェアによく使われますが、クラックや海賊版作成につながる不正な解析を防ぐ目的で合法なソフトウェア開発でも使われます。

Obfuscar は、BlackGuard のすべての文字列データを 1 つのバイト配列に変換し、それに XOR 演算を適用することで、静的解析中に文字列が発見されることを防いでいます。XOR 暗号は、暗号によく使用される単純な加法的暗号です。

このバイト配列は、実行時に難読化を解除されます。元の文字列参照は、すべて関数呼び出しに置き換えられます。ここで使われる関数は、先ほどのバイト配列から、指定されたインデックスと長さで文字列を取り出します。この処理を下の図 1 に示します。

一部のケースでは、文字列がさらに Base64 エンコードされており、バイト配列から取り出した後にデコードが必要となります。これは特に、不審な行動の疑念を持たれやすい文字列に対して行われていました。

そのような文字列は悪意のある重要な機能を含んでいるため、このレイヤーが追加されたことの理由は、デコードされた状態の文字列があまり長時間メモリ上に存在しないようにするためと思われます。このように難読化を強化することで、メモリスキャナーや他の検知ベースのアンチウイルスシステムによって悪意のある活動が捕捉される可能性が低くなります。
 

図 1 – 文字列難読化解除の詳細


情報の窃取

BlackGuard は、耐解析チェックをすべて終えると、フォルダを %AppData% に作成して、そこに盗んだ情報を保存します。%AppData%に作成して、そこに盗んだ情報を保存します。

フォルダを作成した後は、情報窃取機能の使用を始めます。下の図 2 のように、このマルウェアは、さまざまな情報窃取の目的を、それぞれ別々の関数で実行するように設計されています。解読が終わると、各関数を脅威アクターが達成したい目標に対応付けることができます。

図 2 – 中核となる情報窃取関数の詳細


VPN

BlackGuard は、OpenVPN と NordVPN の 2 種類のよく使用されている仮想プライベートネットワーク(VPN)を探します。一般的なインストールパスから両アプリケーションを見つけようとします。さらに、両アプリケーションのユーザーデータからユーザー名とパスワードを探します。


被害者のデバイスの情報

BlackGuard は、複数の関数を呼び出して被害者のデバイスからデータを収集し、「information.txt」という名前のファイルに保存します。次のデータが標的となります。

  • IP アドレス
  • 国と地域
  • ハードウェア ID (HWID)
  • オペレーティングシステム(OS)
  • ログデータ(感染に関するもの)

また、知らないうちに同意なくスクリーンショットを撮る関数もあります。これは、メインの情報窃取関数で一度だけ実行されます。スクリーンショットは、「Screen.Png」という名前で「information.txt」とともに%AppData% ディレクトリに保存されます。


ブラウザー

BlackGuard は、他の多くの最新のインフォスティーラと同様に、保存されているブラウザー情報を取得してログイン認証情報を盗む機能を備えています。

以下の情報をユーザーのブラウザーから見つけようとします。

  • ログイン名
  • 自動入力情報
  • URL と履歴
  • ダウンロードパス

ブラウザーごとに情報の保存場所と保存方法が異なるため、以下のような代表的なブラウザーからの情報窃取に対応する関数を備えています。

  • Chromium
  • Iridium
  • Epic Privacy Browser
  • Google Chrome
  • 7Star
  • Coz Media Uran
  • Google(x86) Chrome
  • CentBrowser
  • Fenrir Inc Sleipnir5
  • Opera Software
  • Chedot
  • Catalina Group Citrio
  • Opera GX 安定版
  • Vivaldi
  • Coowon
  • Mozilla Firefox
  • Kometa
  • Liebao
  • Maple Studio Chrome Plus
  • Elements Browser
  • QIP Surf
  • Orbitum
  • Comodo Dragon
  • Amigo
  • Torch
  • Comodo
  • 360Browser
  • Maxthon3
  • K-Melon
  • Sputnik
  • Nichrome
  • CocCoc
  • Uran
  • Chromodo
  • Microsoft Edge
  • Braveブラウザー



メッセージングアプリケーション

BlackGuard は、一般的なインスタントメッセンジャー(IM)アプリケーションも秘密情報窃取の標的としています。このために、アプリケーションごとの %AppData% ディレクトリに保存されている情報を読み出します。

ブラウザーデータの場合と同様に、各インスタントメッセージングアプリケーションは別々の場所にデータを保存するため、アプリごとにそれを検索する組み込みの関数を備えています。

いくつか例を見てみましょう。

  • Telegram 用の収集関数の場合、%AppData% をチェックしてから Telegram.exe の存在を確認し、さらにこのメッセンジャーが生成してローカルに保存した %tdata% フォルダもチェックします。
  • Pidgin 用の場合、「accounts.xml」ファイルを読み出して、プロトコル、ログイン名、パスワードをコピーします。

他のメッセージングアプリケーションからデータを盗む方法はもっと大雑把なもので、各アプリのアプリケーションフォルダから、すべてのファイルをコピーするだけです。

アプリケーション名

アプリケーションパス

Telegram

%AppData%\Telegram Desktop\tdata

Pidgin

%AppData%\.purple\accounts.xml

Tox

%AppData%\Tox

Element

%AppData%\Element\Local Stroage\leveldb

Signal

%AppData%\Signal\Local Storage\\leveldb

Proxifier

%AppData%\Proxifier4\Profiles



各バージョンの Discord

Discord は、毎月 1 億 5 千万人のアクティブユーザーがいる世界的に非常に人気のある VoIP (Voice-over-IP)サービスとなり、マルウェア作者が注目する分野としては比較的新しいものとなっています。

BlackGuard は、被害者のマシンに Discord が存在するかどうかを、さまざまなバージョンに対して確認してから、パスワードやアカウントを求めてローカルに保存されているユーザーデータを持ち出します。

名前

パス

Discord

Discord\\Local Storage\\leveldb

Discord PTB (Public Test Build)

Discord PTB\\Local Storage\\leveldb

Discord Canary

Discord Canary\\leveldb



暗号通貨

BlackGuard の主な目的は、暗号通貨を盗むことです。BlackGuard が目指しているのは、Arkei インフォスティーラと同様に、暗号アプリケーション、暗号サービス、暗号ウォレットのすべての側面に対応し、被害者のマシン上で利用可能な暗号関連の標的をすべて攻撃することです。

BlackGuard が標的とする暗号関連のリソースは次の通りです。


暗号ウォレットアプリケーション

ウォレット名

アプリケーションパス

Zcash

\\Zcash

Armory

\\Armory

Jaxx

\\com.liberty.jaxx\\IndexedDB\\file__0.indexeddb.leveldb

Exodus

\\Exodus\\exodus.wallet

Ethereum

\\Ethereum\\keystore

Electrum

\\Electrum\\wallets

AtomicWallet

\\atomic\\Local Storage\\leveldb

Guarda

\\Guarda\\Local Storage\\leveldb

Zap

\\Zap\\Local Storage\\leveldb

Binance

\\Binance\\Local Storage\\leveldb

atomic_qt

\\atomic_qt\\config

Frame

\\Frame\\Local Storage\\leveldb

Io.solarwallet.app

\\io.solarwallet.app\\Local Storage\\leveldb

TokenPocket

\\TokenPocket\\Local Storage\\leveldb

Litecoin

\\Litecoin

Dash

\\DashCore

 


Chrome のウォレット

ハードコードされている名前

ハードコードされているパス

拡張機能の ID とリンク

Chrome_Binance

\Google\Chrome\User Data\Default\Local ExtensionSettings\fhbohimaelbohpjbbldcngcnapndodjp\

fhbohimaelbohpjbbldcngcnapndodjp

Chrome_Bitapp

\Google\Chrome\User Data\Default\Local ExtensionSettings\fihkakfobkmkjojpchpfgcmhfjnmnfpi

fihkakfobkmkjojpchpfgcmhfjnmnfpi

Chrome_Coin98

\Google\Chrome\User Data\Default\Local ExtensionSettings\aeachknmefphepccionboohckonoeemg\

aeachknmefphepccionboohckonoeemg

Chrome_Equal

\Google\Chrome\User Data\Default\Local ExtensionSettings\nkbihfbeogaeaoehlefnkodbefgpgknn\

nkbihfbeogaeaoehlefnkodbefgpgknn

Chrome_Guild

\Google\Chrome\User Data\Default\Local ExtensionSettings\nanjmdknhkinifnkgdcggcfnhdaammmj\

nanjmdknhkinifnkgdcggcfnhdaammmj

Chrome_Iconex

\Google\Chrome\User Data\Default\Local ExtensionSettings\flpiciilemghbmfalicajoolhkkenfel\

flpiciilemghbmfalicajoolhkkenfel

Chrome_Math

\Google\Chrome\User Data\Default\Local ExtensionSettings\afbcbjpbpfadlkmhmclhkeeodmamcflc\

afbcbjpbpfadlkmhmclhkeeodmamcflc

Chrome_Mobox

\Google\Chrome\User Data\Default\Local ExtensionSettings\fcckkdbjnoikooededlapcalpionmalo\

fcckkdbjnoikooededlapcalpionmalo

Chrome_Phantom

\Google\Chrome\User Data\Default\Local ExtensionSettings\bfnaelmomeimhlpmgjnjophhpkkoljpa\

bfnaelmomeimhlpmgjnjophhpkkoljpa

Chrome_Tron

\Google\Chrome\User Data\Default\Local ExtensionSettings\ibnejdfjmmkpcnlpebklmnkoeoihofec\

ibnejdfjmmkpcnlpebklmnkoeoihofec

Chrome_XinPay

\Google\Chrome\User Data\Default\Local ExtensionSettings\bocpokimicclpaiekenaeelehdjllofo\

bocpokimicclpaiekenaeelehdjllofo

Chrome_Ton

\Google\Chrome\User Data\Default\Local ExtensionSettings\nphplpgoakhhjchkkhmiggakijnkhfnd\

nphplpgoakhhjchkkhmiggakijnkhfnd

Chrome_Metamask

\Google\Chrome\User Data\Default\Local ExtensionSettings\nkbihfbeogaeaoehlefnkodbefgpgknn\

nkbihfbeogaeaoehlefnkodbefgpgknn

Chrome_Sollet

\Google\Chrome\User Data\Default\Local ExtensionSettings\fhmfendgdocmcbmfikdcogofphimnkno\

fhmfendgdocmcbmfikdcogofphimnkno

Chrome_Slope

\Google\Chrome\User Data\Default\Local ExtensionSettings\pocmplpaccanhmnllbbkpgfliimjljgo\

pocmplpaccanhmnllbbkpgfliimjljgo

Chrome_Starc

\Google\Chrome\User Data\Default\Local ExtensionSettings\mfhbebgoclkghebffdldpobeajmbecfk\

mfhbebgoclkghebffdldpobeajmbecfk

Chrome_Swash

\Google\Chrome\User Data\Default\Local ExtensionSettings\cmndjbecilbocjfkibfbifhngkdmjgog\

cmndjbecilbocjfkibfbifhngkdmjgog

Chrome_Finnie

\Google\Chrome\User Data\Default\Local ExtensionSettings\cjmkndjhnagcfbpiemnkdpomccnjblmj\

cjmkndjhnagcfbpiemnkdpomccnjblmj

Chrome_Keplr

\Google\Chrome\User Data\Default\Local ExtensionSettings\dmkamcknogkgcdfhhbddcghachkejeap\

dmkamcknogkgcdfhhbddcghachkejeap

Chrome_Crocobit

\Google\Chrome\User Data\Default\Local ExtensionSettings\pnlfjmlcjdjgkddecgincndfgegkecke\

pnlfjmlcjdjgkddecgincndfgegkecke

Chrome_Oxygen

\Google\Chrome\User Data\Default\Local ExtensionSettings\fhilaheimglignddkjgofkcbgekhenbh\

fhilaheimglignddkjgofkcbgekhenbh

Chrome_Nifty

\Google\Chrome\User Data\Default\Local ExtensionSettings\jbdaocneiiinmjbjlgalhcelgbejmnid\

jbdaocneiiinmjbjlgalhcelgbejmnid

Chrome_Liquality

\Google\Chrome\User Data\Default\Local ExtensionSettings\kpfopkelmapcoipemfendmdcghnegimn\

kpfopkelmapcoipemfendmdcghnegimn

 

Edge のウォレット

ハードコードされている名前

ハードコードされているパス

拡張機能 ID

Edge_Auvitas

\Microsoft\Edge\User Data\Default\Local Extension Settings\ klfhbdnlcfcaccoakhceodhldjojboga\

klfhbdnlcfcaccoakhceodhldjojboga

Edge_Math

\Microsoft\Edge\User Data\Default\Local Extension Settings\ dfeccadlilpndjjohbjdblepmjeahlmm\

dfeccadlilpndjjohbjdblepmjeahlmm

Edge_Metamask

\Microsoft\Edge\User Data\Default\Local Extension Settings\ ejbalbakoplchlghecdalmeeeajnimhm\

ejbalbakoplchlghecdalmeeeajnimhm

Edge_MTV

\Microsoft\Edge\User Data\Default\Local Extension Settings\ oooiblbdpdlecigodndinbpfopomaegl\

Oooiblbdpdlecigodndinbpfopomaegl (No longer present)

Edge_Rabet

\Microsoft\Edge\User Data\Default\Local Extension Settings\ aanjhgiamnacdfnlfnmgehjikagdbafd\

aanjhgiamnacdfnlfnmgehjikagdbafd

Edge_Ronin

\Microsoft\Edge\User Data\Default\Local Extension Settings\ bblmcdckkhkhfhhpfcchlpalebmonecp\

bblmcdckkhkhfhhpfcchlpalebmonecp (Relisted Link)

Edge_Yoroi

\Microsoft\Edge\User Data\Default\Local Extension Settings\ akoiaibnepcedcplijmiamnaigbepmcb\

akoiaibnepcedcplijmiamnaigbepmcb

 

FTP クライアント

また、BlackGuard は、FileZilla と WinSCP という 2 つの有名な FTP (File Transfer Protocol)サービスを、被害者のデバイスから見つけ出そうとします。どちらも、執筆時点で 1 億人以上のアクティブダウンロードがある人気のフリーウェアアプリケーションです。

BlackGuard は、被害者の最近および現在の FTP サーバーに関連したローカルに保存されている情報を取得しようとします。これは、被害者が転送や操作をした価値のありそうなデータへのアクセスを可能にするために行われます。


高価値ターゲットの評価

脅威アクターは、BlackGuard のサンプルを作成する際に、マルウェアが注目する文字列のリストを指定することができます。これらの文字列は、各サンプルのバイナリのリソースセクションにあり、BlackGuard の最終的な情報収集処理の中でトークン化されます。

そして、収集したすべてのデータから、これらの文字列への参照を探します。一致した文字列は、持ち出すことのできたデータを確認する際に、価値の高い標的として注目されます。

以上の行動は、下の図 3 と図 4 のコードの中に確認できます。

図 3 – 高価値ターゲットの評価(その 1)

図 4 – 高価値ターゲットの評価(その 2)
 

これらの文字列はサンプルの作成時に指定されるため、出回っているサンプルによってある程度の違いがあります。トークン化された文字列のうち、私たちが発見したものは、暗号通貨、バンキング、アンチウイルスベンダーのウェブサイトに関連しています。

複数のサンプルでリソースを調査し、標的とされていることが非常に多い文字列のリストを作成しました。

文字列

カテゴリ

admin

Administration

ads.google.com

Advertising

kaspersky.com

Antivirus

avast.ru

Antivirus

malwarebytes.com

Antivirus

chase.com

Banking

santander.com

Banking

www.hsbc.com

Banking

www.wellsfargo.com

Banking

www.jpmorgan.com

Banking

blockchain.com

Cryptocurrency

gate.io

Cryptocurrency

bitpapa.com

Cryptocurrency

coinpayments

Cryptocurrency

ton.org

Cryptocurrency

btc.com

Cryptocurrency

block.io

Cryptocurrency

coinbase.com

Cryptocurrency

payeer.com

Cryptocurrency

crypto.com

Cryptocurrency

paypal.com

Online Commerce

facebook.com

Social Media

$#!3301)&(*&$&*$#!234)&(*&$&*$#!234)&

Unknown

&(*&$&*$#!3301)&(*&$&*$#!234)&(*&$&*$#!234)&(*&$&*$#!234)

Unknown

 

一致したものは「search_link.txt」に書き込まれ、一時的な %AppData% ディレクトリに、その他の盗んだ情報とともに保存されます。

作者が販売スレッドに投稿したスクリーンショットを見ると、一致したものがコマンドアンドコントロール(C2)パネルに表示されている様子を確認できます(図 5)。

図 5 – BlackGuard の C2 パネルのスクリーンショット


C2 への持ち出し

BlackGuard は、収集した情報をすべて %AppData% にある自身の一時ディレクトリにコピーしてから、ランダムに生成した名前の RAR アーカイブに収めます。

ファイル名の生成には、前に要求した IP 情報をもとにして記録した被害者の国の名前を使用し、それに擬似ランダムな文字列を連結しています。

この文字列は、「aytdgirlzxcvbnmasdfghjklqwertyuiopAABBFFGKKDS」という文字集合から生成されます。

例: (Ireland)_[SrqFrBDjypKrrielGGoFAkAFt].rar

図 6 – 擬似ランダムな RAR ファイル名の生成


次に、作成された RAR ファイルが C2 サーバーに POST リクエストで送信されます(図 7)。このリクエストには、以下のような、価値のある標的を簡単に特定できるようにする基本的な情報が含まれます。

  • ユーザー名
  • 盗んだウォレットの数
  • アンチウイルス
  • 盗んだ Telegram の数
  • オペレーティングシステム
  • 盗んだ VPN の数
  • 盗んだパスワードの数
  • 盗んだ FTP の数
  • 盗んだクッキーの数
  • 高価値ターゲットの評価結果
図 7 – POST リクエストで送られたデータを捉えたところ
 

図 8 – データの POST リクエスト


上の例では、RAR アーカイブのファイル名を期待通りに生成することができませんでした。これは、マルウェア解析がオフラインの閉じた環境で行われたためで、IP アドレスを収集できず、そこから特定する国名がファイル名にありません(図 6、図 8)。


POST リクエストで送信されるファイル

項目

説明

Browsers (ディレクトリ)

Opera、Edge、Chrome から収集したデータ。クッキー、ダウンロード、履歴、高価値ターゲットの検索結果を含む。

Chrome_wallet (ディレクトリ)

Chrome Wallet 拡張機能から収集したデータ(上のリストから)

Edge_wallet (ディレクトリ)

Edge Wallet 拡張機能から収集したデータ(上のリストから)

Files (ディレクトリ)

ユーザーのプロファイルから収集したファイル(デスクトップ、ドキュメントなど)

Telegram (ディレクトリ)

盗んだ Telegram データ

Information.txt

国、HWid、OS、ログの日付に関する情報が含まれる。

Screen.png

ユーザーのデスクトップのスクリーンショット

 

結論

インフォスティーラが進化するにつれ、そのマーケットも進化します。図 9 に見られるように、BlackGuard は発展途上にある複雑な脅威です。

図 9 :マルウェアの作者による更新ログ(ロシア語からの翻訳)


この脅威の人気が高まり、MaaS 商品として広く配布されるようになると、攻撃ベクトルも変化し、典型的な攻撃の図式に当てはめることは困難になります。各攻撃がターゲットの要件に合わせてカスタマイズされることが多いため、被害者の環境にどのように出現するかを知ることは困難です。手頃な価格なので、初心者がわずかな料金で高度なマルウェアを使用できます。

最近では、使いやすさや利便性から、金融情報や暗号通貨のデータを自分のデバイスに保存することが一般的になっています。このことから、こういったデバイスからの情報窃取が、利益を追求する脅威アクターにとって極めて魅力的な仕事になっています。これは、ターゲットが個人の場合にも大企業の一部の場合にも当てはまります。

BlackGuard は暗号通貨のデータとウォレット情報に狙いを定めているため、暗号通貨のヘビーユーザーにとって、より効果的なセキュリティ対策をエンドポイントに導入することが非常に重要となります。


YARA ルール

以下の YARA ルールは、この記事で説明した脅威を捕捉するために BlackBerry の Research & Intelligence Team が作成しました。

import "pe"

rule Mal_Infostealer_Win32_BlackGuard
{
    meta:
        description = "Detects W32 BlackGuard Infostealer"
        author = "BlackBerry Threat Research team "
        date = "2022-14-04"
        sha256 = "6AB3B21FA7CB638ED68509BE1ED6302284E8A9CD1A10F9B6837C057154AA6162"
        license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"

    strings:
        $a1 = { 06 91 06 61 20 AA 00 00 00 61 D2 9C 06 17 58 0A }
        $a2 = "System.Data.SQLite"
        $a3 = "FromBase64String"
        $a4 = "BlockInput"
        $a5 = "UploadFile"
        $a6 = "Passwords"
        $a7 = "Discord"
        $a8 = "GetVolumeInformationA"
        $a9 = "NordVPN"
        $a10 = "OpenVPN"
        $a11 = "ProtonVPN"
        $a12 = "OperaCookies"
        $a13 = "EdgeCookies"
        $a14 = "ChromeCookies"

        $b1 = "upche" wide

    condition:
        uint16(0) == 0x5a4d and
        pe.imphash() == "f34d5f2d4577ed6d9ceec516c1f5a744" and
        pe.number_of_sections == 3 and
        pe.section_index(".text") == 0 and
        pe.section_index(".rsrc") == 1 and
        pe.section_index(".reloc") == 2 and
        ((all of ($a*)) or ((12 of ($a*) and all of ($b*))))
}

 

侵入の痕跡 (IOC)


SHA256:

3df93a8c2843f1e91c7625685fbc4a7fc9438d8debf765d5a5bf9c62dbed6aef
6ab3b21fa7cb638ed68509be1ed6302284e8a9cd1a10f9b6837c057154aa6162
ac6fb63231a7cfc8380400721b6b2be8fd4c65f10947edb8b500f5779441338b
aadec91cc7481998ba59f2ad65005144417c7bde5e28114fc57cd04ee3551be8
8b6a82bd10fc3cab378e9c2023bee639ed81d1ee02fb882b8601f451466d76bf

C2 Domains:
hXXps://greenblguard[.]shop
hXXps://win[.]mirtonewbacker[.]com
hXXps://skazkahoho[.]space
hXXps://fuzzyjazz[.]me

 

BlackBerry によるサポート

もしBlackGuard Infostealer のような脅威にさらされているなら、BlackBerry にお任せください。現在 BlackBerry 製品を利用していなくても問題ありません。 BlackBerry の

インシデント対応チーム は、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。

弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。次の URL からご相談ください。https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview

・BlackBerry Japan:https://www.blackberry.com/ja/jp

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。