正体不明のハッカー「 バトルロワイアル 」、多様な手段でダークゲートを埋め込み

「 バトルロワイアル 」という正体不明のハッカーが多様なソーシャルエンジニアリングキャンペーンを始めました。アメリカとカナダの多様な産業に当たる組織を無差別的に狙ったキャンペーンであり、攻撃者の目的は、「ダークゲート」というマルウェアでシステムを感染させることでした。

セキュリティ企業「Proofpoint」は今週、自社のブログを通じて「そのグループが新たに表れたのか、それとも前から存在してきたかについてははっきり言えない」と言いました。その理由は「今存在するほぼ全ての戦略や技術を多用に活用しているためだ」と説明しました。Proofpointはこのグループに「 バトルロワイアル （BattleRoyal）」という名前を付けて追跡しています。
バトルロワイアル は時々偽のブラウザのアップデートを通じてソーシャルエンジニアリング攻撃を実施するが、Proofpointがこのようなタイプの攻撃を発見したのは今年の10月のことでした。攻撃者は自分らが密かに制御するドメインにCSSステガノグラフィー手法を活用してコマンドをインジェクションする方法を活用していました。

しかし、 バトルロワイアル が好きな本当の攻撃手口は伝統的なメールフィッシングです。今年の9月から11月の間、最小20回以上のフィッシングメールキャンペーンを行ったこともあります。総計数十万のフィッシングメールがその間送信されたそうです。その以外にも バトルロワイアル は、MS Defender Smartscreen、CVE-2023-36025というゼロデイ脆弱性など多様なエクスプロイトを行うと分析されています。

バトルロワイアル が埋め込んだダークゲートは、ローダーでもあり、暗号通貨の採掘コードでもあり、リモートアクセスのトロイの木馬でもあります。10月に使用が急増したダークゲートの代わりに、 バトルロワイアル は急にネットサポートを活用し始めました。ネットサポートはリモートアクセスを可能にする合法的なツールで、レッドチームもよく使うが、最近はハッカーがもっと使うことに見えます。

Proofpointの関係者は「まだ バトルロワイアル がなぜダークゲートをネットサポートに変えたかについてはよくわからない」と述べ、「もしかして、誰でもダークゲートを使っていると言えるほど人気が高まりすぎてからかもしれない。攻撃者の中で人気が高まると、セキュリティ業界でも同様になる。そうなるともっとよく検知されるようになり、攻撃を成功させるのがだんだん難しくなるので、多分そのような状況を避けたかった可能性が高い」と加えました。