悪意のあるペイロードをWindowsロゴ画像に隠す攻撃手法が報告される

ペイロードを隠すために用いられたWindowsロゴ画像

　Symantecは29日(現地時間)、Windowsロゴに見えるビットマップイメージに悪意のあるコードを隠して、攻撃に利用するマルウェア「Backdoor.Stegmap」について報告している。

　2022年2月から9月にかけて、中東2カ国の政府およびアフリカの証券取引所を標的として、Witchettyと呼ばれる集団が実施した攻撃において確認されたもの。この事例において、彼らの利用するLookBackマルウェアに新たなツールセットがいくつか加わっていたことが分かり、そのうちの1つがBackdoor.Stegmapだったという。

　Backdoor.Stegmapでは、単なる古いWindowsのロゴに見えるビットマップイメージをGitHubのリポジトリ上に設置。このイメージにはステガノグラフィを用いてあらかじめペイロードが隠してあり、ダウンロード後にXORキーで復号化できる仕組みとなっていた。ペイロードは、ディレクトリやファイル、プロセス、レジストリキーなどの操作が可能なフル機能を持つバックドアだったという。

　ペイロードを偽装することで、攻撃者は無料で信頼できるサービス上にファイルを設置できるため、攻撃者がホストするC&C(Command-and-Control)サーバーと比べて、ファイルをダウンロードする際に極めて警戒されにくいという。

　同社では、Witchettyが標的の攻撃に向けてツールセットを更新できるだけの能力を持ちあわせており、カスタムしたツールと環境寄生型の手法を駆使することで、標的の中で長期間の継続した攻撃も行なえるだろうとしている。