Trend Microはこのほど、「Black Basta-Affiliated Water Curupira’s Pikabot Spam Campaign」において、脅威アクター「Water Curupira」がランサムウェア攻撃につながるマルウェアローダ「Pikabot」の配布に重点を置いて活動しているとして、注意喚起した。

Water Curupiraは2023年第1四半期に実施したスパムキャンペーンにおいてPikabotを配布したが、2023年6月末頃に活動を停止。2023年第3四半期の初期に複数の「DarkGate」スパムキャンペーンと少数の「IcedID」キャンペーンを実施し、その後Pikabotに重点を置いて活動を再開したことが確認されたとしている。

Black Basta-Affiliated Water Curupira’s Pikabot Spam Campaign

○マルウェアローダ「Pikabot」の概要

Trend Microによると、Pikabotはメールの添付ファイルやフィッシングキャンペーンを通じて配布される。Pikabotはローダとコアモジュールの2つのコンポーネントから構成されており、リモートアクセスとコマンド&コントロール(C2: Command and Control)サーバからの任意のコマンドを実行する機能を持つとされる。

Pikabotを用いた攻撃手順 引用:Trend Micro

○マルウェアローダ「Pikabot」を持ちいた攻撃手順

Water CurupiraはPikabotの配布に複数の手法を試みていることが確認されているが、いずれの場合も最終的にダイナミックリンクライブラリ(DLL: Dynamic Link Library)形式のPikabotを展開して「rundll32.exe」コマンドを使用して実行する。Trend Microの分析によると、Pikabotにはサンドボックスを検出して分析を妨害する機能が含まれているが、この機能はGitHubで公開されているコードをコピーしたのではないかと推測されている(参考:「Evasions/_techniques/processes.md at master · CheckPointSW/Evasions」)。

サンドボックスの検出をパスすると、Pikabotはリソース画像として保持している暗号化されたコアモジュールを復号化し、作成した一時停止プロセス(SearchProtocolHost)にコードを挿入して実行する。これはコアモジュールを保存しないことで分析や検出を回避する目的があるとみられる。コアモジュールには特定の標的を回避する機能があり、システムの言語がロシア語またはウクライナ語の場合には実行を停止する。

それ以外の言語の場合、コアモジュールはシステム情報を窃取し、コマンド&コントロール(C2: Command and Control)サーバに送信する。さらに追加情報として現在のユーザのアクセストークンのすべての情報、ネットワーク情報、アクティブな通信情報、実行中のプロセスの一覧を窃取する。Water Curupiraはマルウェアとしての「Cobalt Strike」やランサムウェア「Black Basta」との関連が指摘されており、Pikabotを介して追加の攻撃が実行される可能性がある。

Trend Microはこのような攻撃を回避するために、フィッシング攻撃に注意する必要があると指摘している。特に悪意のあるメールに注意を払う必要があるとして、電子メールのセキュリティにおけるベストプラクティスの実施を推奨している。