「異なる二つのプロジェクトに関するGitHubからの連絡」

GitHubを舞台にした新たなマルウェアキャンペーン
昨日、二人の異なる人物から、GitHub上での二つの異なるプロジェクトに関する連絡を受けました。一人目の「Tito」は、GitHub上で「synara」のパッチを見つけたとのコメントがあったとダイレクトメッセージを送信してきました。一方、二人目の「Robert Z」は、別のGitHubプロジェクトに関する同様の件でメールを寄せました。
この現象に興味を持ち、さらに調査を進めてみたところ、以下のようなファイルがオンライン上で発見されていることが判明しました:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
要するに、誰かがGitHub上にアカウントを作成し、オープンイシューにアクセスして「パッチを見つけた」とコメントを残しているというわけです。この行動はおそらく自動化されていると思われますが、詳細は不明です。そして、このパッチはマルウェアです。
キャンペーンの発端と技術的詳細
このキャンペーンは7月7日(昨日)から始まったようで、急速に広まっていることが伺えます。
内部を覗いてみると(軽い言い回しですが)、Go言語で書かれたプログラムであることがわかります。このバイナリが起動すると、リモートホストに問い合わせを行い、そのホストはTelegramにResolvesされます。Telegramのチャンネル説明には、特定のウェブサイトのURLが記載されています。このウェブサイトは、ペイロードがコードを外部に排出する先です。
この戦術が用いられているのは、指定されたウェブサイトが閉鎖された際に、迅速にTelegramのチャンネル説明を変更できるからです。これは基本的にブートレッグDNSリゾルバとして機能します。
StealCについて
さて、このマルウェアは(YARA識別子に基づく)StealCと呼ばれています。これはおそらく、StealCを使用する新たなマルウェアキャンペーンであり、その実施方法に感心しています。GitHubのスパムを利用したこのアプローチと、Telegram上のブートレッグDNSリゾルバの組み合わせは非常に魅力的です。また、Telegramが削除リクエストに対して迅速に対応することは考えにくいため、こうした手法が効果を発揮すると思われます。
マルウェアキャンペーンの概要
| 項目 | 詳細 |
|---|---|
| 開始日 | 2023年7月7日 |
| 使用言語 | Go |
| マルウェア名 | StealC |
| 感染手法 | GitHub上でのオープンイシューに自動コメント |
| 通信手段 | Telegram |
| 特徴 | ブートレッグDNSリゾルバとしての機能 |
このように、GitHubを利用した新しいマルウェアキャンペーンが展開されていることが示唆されています。利用者は、この事象に注意を払い、安全を確保するための対策を講じる必要があります。
TechOffice