ナビゲーションをスキップする
BlackBerry ThreatVector ブログ

BlackBerry、Purple Fox ルートキットを未然に防御

原文のブログはこちらからご覧いただけます。

 

Purple Foxルートキットは、正規のインストーラに自身をバンドルして被害者のマシンに侵入します。その実現手段はサイバー侵入の方法に新たなレベルの創造性をもたらしています。

2022 年初頭から活動している Purple Fox は、偽の Telegram インストーラによって拡散されるマルウェアキャンペーンです。マルウェアが検知を回避できるよう、攻撃チェーンは複数の個別の段階に分割されています。それぞれの攻撃段階は異なるファイルで実施され、ファイル一式が揃っていなければ各ファイルが意味をなさないようになっています。

このマルウェアは、アンチウイルス(AV)製品の手が届かない場所に埋め込んだルートキットをロードすることで、標的の Windows® マシンに侵入するという主目的を達成します。このルートキットが被害者のマシンへのバックドアとなり、攻撃者が悪意のある活動をさらに実施できるようにしているため、Purple Fox は検知されずに残り続けます。

正規のインストーラの使用は脅威アクターが用いる手法としてすでに一般的ですが、Telegram のような人気のアプリケーションが採用されている点は注目に値します。また、脅威研究者による解析を難しくするためにマルウェアの機能が分割されていることも、同様に注目すべき点です。

 

デモ動画:BlackBerry 対 Purple Fox ルートキット
   

Purple Fox の詳細については、弊社の解析ブログ記事をご覧ください。アンチウイルス製品の手が届かない!多段階の攻撃チェーンで検知を回避:Purple Fox ルートキット

図 1 – Purple Fox がユーザーに権限を要求している様子

 
図2 – Purple Fox が攻撃者の IP アドレスへの接続を試みている様子
 

上の動画では、Purple Fox の第 1 段階と第 2 段階を実演しています。このルートキットは著名なメッセージングアプリ Telegram を装っています。

このシステムはCylanceOPTICS®(旧称:BlackBerry® Optics)の Audit-Only Mode で構成し、マルウェアの実行を許可しています。 in Audit-Only Mode, to allow the malware to run.

実行すると、Purple Fox が正規バージョンのアプリをインストールしますが、これはすぐには実行されません。その代わり、「TextInputh.exe」というファイルがメインの悪意あるダウンローダとして機能し、のちに他の攻撃段階を続行します。

CylanceOPTICS の根本原因分析からコマンドアンドコントロール(C2)通信が確認でき、攻撃者の IP アドレスへの接続試行がどのように行われているかが把握できます。また、すべての脅威の痕跡を一覧で取得し、各ファイルの機能を確認することもできるため、脅威全体の理解がさらに深まります。

なお、このCylance® AIモデルは 2015 年 10 月のもので、インターネット接続もシステムアップデートもしていません。にもかかわらず、この種のルートキットをミリ秒単位で検知し、実行を未然に防御することができています。

 

BlackBerry の予防ファースト理念

BlackBerry では、サイバーセキュリティに対して予防ファーストの AI 主導アプローチを採用しています。予防を第一とすることで、キルチェーンの悪用段階の前にマルウェアを無力化できます。   

BlackBerry® ソリューションは、この段階でマルウェアを阻止することで、組織の回復力向上に役立ちます。また、インフラストラクチャの複雑さが削減され、セキュリティ管理が合理化されて、業務、スタッフ、エンドポイントが確実に保護されます。   

BlackBerry なら、予防が可能なのです。 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview

・BlackBerry Japan:https://www.blackberry.com/ja/jp

・FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/

・Twitter(日本語): https://twitter.com/BlackBerryJPsec

・ LinkedIn: https://www.linkedin.com/company/blackberry/

・Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos

Hector Diaz

About Hector Diaz

Hector Diazは、ラテンアメリカと西インド諸島を担当するBlackBerryの製品マーケティングマネージャーです。Hectorはエンジニアリング部門および製品管理部門と協力することにより、テクノロジーの概念を分かりやすく言い換えて、サイバーセキュリティに対する人工知能(AI)の適用について解説し、啓蒙しています。 Hectorはサイバーセキュリティ分野で15年を超える経験を持ち、ラテンアメリカと西インド諸島地域における展示会、パートナー研修、顧客エンゲージメントで必要とされている評価の高い専門家です。