ここから本文です

ハッカーがPastebinを使ってワームを拡散

6/26(月) 15:59配信

THE ZERO/ONE

Vicswors Baghdadというオンライン名のハッカーがPastebin(ペーストビン)のサイトでのマルウェアHoudininoの拡散に関与している。Recorded Futureの専門家によると、その攻撃者と同一の人物が「MoWare H.F.D」というオープンソースのランサムウェア亜種の作成者でもあるようだ。

Recorded Futureの専門家は、Pastebinへの悪意のあるスクリプトの投稿に、2016年の8月と10月、2017年3月の3度、明らかなスパイク(突発的増加)があることに気づいた。

スクリプトの大部分がHoudiniを拡散するために使用されている。Houdiniは2013年に初めて登場し、2016年にアップデートされた脅威だ。

「2017年3月初旬、Pastebinに投稿された悪意のあるVBScriptの増加に我々は気付き始めた。これらのVBScripts のほとんどがHoudiniのようだ。Houdiniは、2013年に初めて出現したVBScriptのワームで、2016年にアップデートされている」とRecorded Futureが公開した解析レポートで説明されている。
「このHoudini VBScriptを再利用する人物は、新たなコマンド&コントロールサーバーでアップデートし続けている。我々は検索基準を詳細に定義してHoudini スクリプトをより分け、2016年8月と10月、今年3月の3つの明確なスパイクを特定した」
Recorded Futureはペーストビンのサイトで悪意ある投稿を213件見つけた。これには105件のサブドメインが絡んでいた。また専門家らは190のハッシュも見つけている。

そのドメインやサブドメインはDynamicDNSプロバイダーのものだったが、攻撃者がゲストアカウントを使用してHoudiniワームのVBScriptを公開していたため、特定は不可能だった。

しかし専門家は、「microsofit[.]net(※編注:「soft」ではなく「sofit)」というドメインの登録者名の特定に成功した。その登録者名は「Mohammed Raad」というもので、国情報は「ドイツ」、連絡先メールアドレスは「vicsworsbaghdad@gmail.com」だった。

研究者が上記の情報をGoogleで検索したところ、同じ情報を使用しているFacebookのプロフィールを発見した。そのプロフィールによるとMohammed Raad はAnonymousのドイツの組織のメンバーで、Vicswors Baghdadという別名を使っているようだ。

さらに研究者らは、FacebookのプロフィールでMoWare H.F.Dに関する最近の会話が見られることにも明らかにした。

「『MoWare H.F.D』というオープンソースのランサムウェアに関する最近の会話がFacebookのプロフィールに表示される。彼らはランサムウェアの研究やテスト、そして恐らく設定も行っているようだ」と解析レポートは続ける。

「『vicsworsbaghdad』のFacebookプロフィールに投稿されたスクリーンショットのさらなる調査にて、彼が設定しているランサムウェアは、作成者のYouTubeの動画にコメントすることで入手できるオープンソース版であることに我々は気付いた。『Vicswors Baghdad』というアカウントが、ダウンロードするファイルはどこで見つけられるのかコメントで尋ねている。これに対して開発者は、プライベートメッセージを送ると返信している。『Vicswors Baghdad』というアカウントは、microsofit[.]net.の登録と同じメール『vicsworsbaghdad@gmail.com』を用いている」

攻撃者のプロフィール等の詳細については、Recorded Futureが公開した記事で確認することができる。
 
翻訳:編集部
原文:Experts tracked a German hacker behind the spreading of Houdini Worm on Pastebin
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

Security Affairs

最終更新:6/26(月) 15:59
THE ZERO/ONE

Yahoo!ニュースからのお知らせ