WARMCOOKIEを再訪する
Elastic Security Labs は、WARMCOOKIE コードベースの開発を追跡し続け、バックドアに関連する新しいインフラストラクチャを発見しています。最初の投稿以来、私たちはコード ファミリの継続的な更新と、新たな感染や新しいローダーでの使用など、バックドアをめぐる継続的な活動を観察してきました。IBM X-Force チームによる最近の調査結果では、WARMCOOKIE を配布する CASTLEBOT と呼ばれる新しいマルウェア・アズ・ア・サービス (MaaS) ローダーが明らかになりました。
この記事では、WARMCOOKIE の初版以降に追加された新機能について紹介します。続いて、さまざまなサンプルから抽出された構成情報を紹介します。
重要なポイント
- WARMCOOKIEバックドアは活発に開発・配布されている
- 最近追加されたマーカーであるキャンペーンIDは、特定のサービスやプラットフォームをターゲットにすることを明確にします。
- WARMCOOKIEオペレーターは、コマンドハンドラーと機能によって区別されるバリアントビルドを受け取るようです。
- Elastic Security Labsは、新しいWARMCOOKIE C2サーバーを追跡するために使用できるデフォルトの証明書を特定しました。
WARMCOOKIEの要約
私たちは2024年の夏に初めてWARMCOOKIEに関する調査を発表し、その機能と、採用をテーマにしたフィッシングキャンペーンを通じてどのように展開されたかを詳しく説明しました。それ以来、私たちは、新しいハンドラーの追加、新しいキャンペーン ID フィールド、コードの最適化、回避の調整など、マルウェアのさまざまな開発上の変更を観察してきました。
WARMCOOKIE の重要性は、2025 年 5 月のユーロポールの Operation Endgameで浮き彫りになりました。この Operation Endgame では、WARMCOOKIE を含む複数の有名なマルウェア ファミリが破壊されました。それにもかかわらず、バックドアがさまざまなマルバタイジングやスパムキャンペーンで積極的に使用されているのが依然として確認されています。
WARMCOOKIEのアップデート
ハンドラー
WARMCOOKIE の新しい亜種の分析中に、2024 年夏に導入された、実行可能ファイル、DLL、スクリプトを迅速に起動する機能を提供する 4 つの新しいハンドラーを特定しました。
- PEファイルの実行
- DLL実行
- PowerShell スクリプトの実行
Startエクスポートによる DLL 実行
私たちが収集した最新の WARMCOOKIE ビルドには DLL/EXE 実行機能が含まれていますが、PowerShell スクリプト機能はあまり普及していません。これらの機能は、ファイルの種類ごとに異なる引数を渡すことで、同じ関数を活用します。ハンドラーは一時ディレクトリにフォルダーを作成し、ファイルの内容 (EXE/DLL/PS1) を新しく作成されたフォルダー内の一時ファイルに書き込みます。次に、一時ファイルを直接実行するか、 rundll32.exeまたはPowerShell.exeいずれかを使用します。以下は procmon からの PE 実行の例です。
ストリングバンク
観察されたもう 1 つの変更は、WARMCOOKIE のフォルダー パスとスケジュールされたタスク名に正規の企業のリスト (「ストリング バンク」と呼ばれる) を使用するようになったことです。これは防御を回避する目的で行われ、マルウェアがより正当に見えるディレクトリに再配置できるようにします。このアプローチでは、以前の亜種 ( C:\ProgramData\RtlUpd\RtlUpd.dll ) で確認されたようにパスを静的な場所にハードコーディングするのではなく、より動的な方法 (マルウェア実行時に割り当てられる、フォルダー パスとして使用する企業のリスト) を使用します。
マルウェアは、 GetTickCount srand関数のシードとして使用し、文字列バンクから文字列をランダムに選択します。
以下は、タスク名とフォルダーの場所を示すスケジュールされたタスクの例です。
これらの名前と説明をいくつか検索したところ、私たちのチームは、この文字列バンクが、評判の良い IT/ソフトウェア企業を評価および検索するために使用される Web サイトから取得されていることを発見しました。
小さな変化
前回の記述では、WARMCOOKIE は、スケジュールされたタスクを作成する必要があるかどうかを判断するために/pを使用してコマンドライン パラメータを渡していましたが、このパラメータは/uに変更されました。これは、以前の報告から脱却するための、小さいながらも追加の変更であると思われます。
この新しいバリアントでは、WARMCOOKIE は 2 個別の GUID のようなミューテックスを埋め込むようになりました。これらは組み合わせて使用され、初期化と同期をより適切に制御します。以前のバージョンでは、ミューテックスを 1 つだけ使用していました。
最新バージョンの WARMCOOKE におけるもう 1 つの顕著な改善点は、コードの最適化です。以下に示す実装では、インライン ロジックが少なくなり、プログラムが読みやすさ、パフォーマンス、保守性に関して最適化され、よりクリーンになりました。
クラスタリング構成
2024 年 7 月の最初の公開以来、WARMCOOKIE サンプルにはキャンペーン ID フィールドが含まれています。このフィールドは、配布方法など、感染に関するコンテキストをオペレーターに提供するタグまたはマーカーとしてオペレーターによって使用されます。以下は、キャンペーン ID がtraffic2のサンプルの例です。
昨年のサンプルから抽出された構成に基づいて、埋め込まれた RC4 キーを使用して WARMCOOKIE を使用するオペレーターを区別できると仮定します。まだ証明されていませんが、さまざまなサンプルから、RC4 キーのクラスタリングに基づいていくつかのパターンが現れ始めていることが観察されました。
RC4 キーを使用すると、キャンペーン マッピングにbing 、 bing2 、 bing3, 、 awsなどのキーワードを活用する RC4 キー83ddc084e21a244cを使用したビルドなど、時間の経過に伴うキャンペーン テーマの重複を確認できます。これらのビルド成果物に関連する興味深い点は、一部のビルドに異なるコマンド ハンドラー/機能が含まれていることです。たとえば、RC4 キー83ddc084e21a244cを使用するビルドは、PowerShell スクリプト実行機能を備えていることが確認されている唯一のバリアントですが、最近のビルドのほとんどには DLL/EXE ハンドラーが含まれています。
その他のキャンペーン ID では、 lod2lod 、 capo, 、 PrivateDLLなどの用語が使用されているようです。2025 年 7 月のサンプルでは、WARMCOOKIE で数値の IP アドレスではなく埋め込みドメインが使用されていることが初めて確認されました。
WARMCOOKIE インフラストラクチャの概要
これらの構成からインフラストラクチャを抽出すると、1 つの SSL 証明書が浮かび上がります。私たちの仮説では、以下の証明書は、WARMCOOKIE バックエンドに使用されるデフォルトの証明書である可能性があります。
Issuer
C=AU, ST=Some-State, O=Internet Widgits Pty Ltd
Not Before
2023-11-25T02:46:19Z
Not After
2024-11-24T02:46:19Z
Fingerprint (SHA1)
e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0証明書の詳細
上記の「有効期限」の日付は、この証明書の有効期限が切れていることを示しています。ただし、新しい (再利用された) インフラストラクチャは、この期限切れの証明書を使用して引き続き初期化されます。これは完全に新しいインフラストラクチャではなく、既存のインフラストラクチャに新たな命を吹き込むためにリダイレクタを再構成したものです。これは、キャンペーンの所有者が C2 が検出されることを懸念していないことを示している可能性があります。
まとめ
Elastic Security Labs は、WARMCOOKIE 感染とこのファミリーの新しいインフラストラクチャの展開を継続的に監視しています。開発者は過去 1 年間にわたって更新と変更を続けており、今後もしばらくは存続すると思われます。選択的に使用されているため、引き続き目立たないままになっています。この情報を共有することで、組織がこの脅威から自らを守るための備えが強化されることを願っています。
マルウェアと MITRE ATT&CK
Elasticは、 MITRE ATT&CK フレームワークを使用して、企業ネットワークに対してAdvanced Persistent Threatが使用する一般的な戦術、手法、手順を文書化しています。
戦術(Tactics)
戦術は、テクニックまたはサブテクニックの理由を表します。 それは敵の戦術的な目標であり、行動を実行する理由です。
手法
手法は、敵対者がアクションを実行することによって戦術的な目標を達成する方法を表します。
- フィッシング
- ユーザー実行:悪意のあるリンク
- コマンドとスクリプト インタープリター: PowerShell
- システム情報の検出
- スケジュールされたタスク/ジョブ
- スクリーンキャプチャ
- コマンドおよびスクリプト インタープリター: Windows コマンド シェル
- インジケーターの削除:マルウェアの再配置
マルウェアの検出
予防
- 疑わしいPowerShellのダウンロード
- 異常なプロセスによるスケジュールされたタスクの作成
- Windowsスクリプト経由の不審なPowerShell実行
- 異常な引数のRunDLL32
- Windows.Trojan.WarmCookie
ヤラ
Elastic Security は、このアクティビティを識別するために次の YARA ルールを作成しました。
観測
この研究では、次の観測量について議論しました。
| すぐれた監視性 | タイプ | 名前 | 参考 |
|---|---|---|---|
| 87.120.126.32 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| storsvc-win[.]com | ドメイン | WARMCOOKIE C2 サーバー | |
| 85.208.84.220 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 109.120.137.42 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 195.82.147.3 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 93.152.230.29 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 155.94.155.155 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 87.120.93.151 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 170.130.165.112 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 192.36.57.164 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 83.172.136.121 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 45.153.126.129 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 170.130.55.107 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 89.46.232.247 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 89.46.232.52 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 185.195.64.68 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 107.189.18.183 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 192.36.57.50 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 62.60.238.115 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 178.209.52.166 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 185.49.69.102 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 185.49.68.139 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 149.248.7.220 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 194.71.107.41 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 149.248.58.85 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 91.222.173.219 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 151.236.26.198 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 91.222.173.91 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 185.161.251.26 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 194.87.45.138 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| 38.180.91.117 | IPv4-アドレス | WARMCOOKIE C2 サーバー | |
| c7bb97341d2f0b2a8cd327e688acb65eaefc1e01c61faaeba2bc1e4e5f0e6f6e | SHA-256の | WARMCOOKIE | |
| 9d143e0be6e08534bb84f6c478b95be26867bef2985b1fe55f45a378fc3ccf2b | SHA-256の | WARMCOOKIE | |
| f4d2c9470b322af29b9188a3a590cbe85bacb9cc8fcd7c2e94d82271ded3f659 | SHA-256の | WARMCOOKIE | |
| 5bca7f1942e07e8c12ecd9c802ecdb96570dfaaa1f44a6753ebb9ffda0604cb4 | SHA-256の | WARMCOOKIE | |
| b7aec5f73d2a6bbd8cd920edb4760e2edadc98c3a45bf4fa994d47ca9cbd02f6 | SHA-256の | WARMCOOKIE | |
| e0de5a2549749aca818b94472e827e697dac5796f45edd85bc0ff6ef298c5555 | SHA-256の | WARMCOOKIE | |
| 169c30e06f12e33c12dc92b909b7b69ce77bcbfc2aca91c5c096dc0f1938fe76 | SHA-256の | WARMCOOKIE |
参照資料
上記の研究を通じて、以下のことが参照されました。