最初のコンピューター ウイルスが出現して以来、マルウェアはハッカーとセキュリティ研究者の間でいたちごっこでした。現在、ほとんどのマルウェアは、少なくとも種類と配信方法に関しては既知です。しかし、悪者は時折、自分たちの痕跡を隠すために新しいトリックを考え出します。
セキュリティ分析会社 Mandiant は最近、少なくとも 2 つの異なる Web サイトで Base64 エンコーディングを使用して 3 段階のマルウェアの第 2 段階のペイロードを配信する「これまでに見たことのない」攻撃チェーンを発見しました。 2 つの Web サイトは、テクノロジー Web サイト ArsTechnica とビデオ ホスティング Web サイト Vimeo です。
あるユーザーは、「私はピザが大好きです」というキャプションを付けてピザの写真をArsTechnicaフォーラムに投稿した。写真や文章自体には問題はありません。ただし、この写真はサードパーティの Web サイトによってホストされており、その URL には Base64 文字列が含まれています。 ASCII に変換された Base64 はランダムな文字のように見えますが、この場合、マルウェア パッケージの第 2 段階をダウンロードしてインストールするためのバイナリ命令が難読化されます。別のケースでは、Vimeo 上の無害なビデオの説明に同一の文字列が表示されました。
ArsTechnicaの広報担当者は、匿名ユーザーが画像(下)への奇妙なリンクをサイトに報告した後、ArsTechnicaが昨年11月に作成されたアカウントを削除したと述べた。
マンディアントは、このコードが UNC4990 として知られる脅威アクターのものであることを特定し、2020 年から追跡していると述べた。ほとんどのユーザーにとって、これらの指示は効果がありません。これは、第 1 段階のマルウェア (explorer.ps1) がすでに含まれているデバイス上でのみ実行できます。 UNC4990 の拡散の第 1 段階は、GitHub や GitLab でホストされているファイルにリンクするように構成された感染したフラッシュ ドライブを介して行われます。
第 2 段階は「空スペース」と呼ばれ、ブラウザやテキスト エディタでは空白として表示されるテキスト ファイルです。ただし、16 進数エディタで開くと、スペース、タブ、改行などの巧妙なエンコード スキームを使用して実行可能なバイナリ コードを作成するバイナリ ファイルが表示されます。マンディアント氏は、このテクノロジーをこれまで見たことがないと認めています。
マンディアントの研究者であるヤシュ・グプタ氏は、「これは私たちが目にしている悪用とは異なった斬新な方法であり、検出するのが難しい。これはマルウェアでは通常見られないものである。これは私たちにとって非常に興味深いことであり、指摘したいことである。」と述べた。
実行後、Emptyspace は継続的にコマンド&コントロール サーバーをポーリングし、コマンドに従って「Quietboard」という名前のバックドアをダウンロードします。 UNC4990 はこのバックドアを悪用し、感染したマシンに仮想通貨マイナーをインストールします。ただし、Mandiant 社は、インストールされている Quietboard のインスタンスを 1 つだけ追跡していると述べました。
Quietboard の希少性を考慮すると、UNC4990 の攻撃によってもたらされる脅威は最小限です。ただし、explorer.ps1 と Emptyspace は感染率が高く、ユーザーが脆弱なままになる可能性があります。 Mandiant はブログで感染を検出する方法を説明しています。