techleakszone 🔥 15 訪問数

「異なる二つのプロジェクトに関するGitHubからの連絡」

「異なる二つのプロジェクトに関するGitHubからの連絡」

GitHubを舞台にした新たなマルウェアキャンペーン

昨日、二人の異なる人物から、GitHub上での二つの異なるプロジェクトに関する連絡を受けました。一人目の「Tito」は、GitHub上で「synara」のパッチを見つけたとのコメントがあったとダイレクトメッセージを送信してきました。一方、二人目の「Robert Z」は、別のGitHubプロジェクトに関する同様の件でメールを寄せました。

この現象に興味を持ち、さらに調査を進めてみたところ、以下のようなファイルがオンライン上で発見されていることが判明しました:

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

要するに、誰かがGitHub上にアカウントを作成し、オープンイシューにアクセスして「パッチを見つけた」とコメントを残しているというわけです。この行動はおそらく自動化されていると思われますが、詳細は不明です。そして、このパッチはマルウェアです。

キャンペーンの発端と技術的詳細

このキャンペーンは7月7日(昨日)から始まったようで、急速に広まっていることが伺えます。

内部を覗いてみると(軽い言い回しですが)、Go言語で書かれたプログラムであることがわかります。このバイナリが起動すると、リモートホストに問い合わせを行い、そのホストはTelegramにResolvesされます。Telegramのチャンネル説明には、特定のウェブサイトのURLが記載されています。このウェブサイトは、ペイロードがコードを外部に排出する先です。

この戦術が用いられているのは、指定されたウェブサイトが閉鎖された際に、迅速にTelegramのチャンネル説明を変更できるからです。これは基本的にブートレッグDNSリゾルバとして機能します。

StealCについて

さて、このマルウェアは(YARA識別子に基づく)StealCと呼ばれています。これはおそらく、StealCを使用する新たなマルウェアキャンペーンであり、その実施方法に感心しています。GitHubのスパムを利用したこのアプローチと、Telegram上のブートレッグDNSリゾルバの組み合わせは非常に魅力的です。また、Telegramが削除リクエストに対して迅速に対応することは考えにくいため、こうした手法が効果を発揮すると思われます。

マルウェアキャンペーンの概要

項目 詳細
開始日 2023年7月7日
使用言語 Go
マルウェア名 StealC
感染手法 GitHub上でのオープンイシューに自動コメント
通信手段 Telegram
特徴 ブートレッグDNSリゾルバとしての機能

このように、GitHubを利用した新しいマルウェアキャンペーンが展開されていることが示唆されています。利用者は、この事象に注意を払い、安全を確保するための対策を講じる必要があります。