トロイの木馬型マルウェア「Pikabot」の詳細分析

** 本記事は、Deep dive into the Pikabot cyber threat の翻訳です。最新の情報は英語記事をご覧ください。**

Pikabot は最近発見されたトロイの木馬型マルウェアで、ソフォスは Sophos NDR の 6 月のアップデートにおいて、Pikabot 通信の暗号化されたトラフィックのパターンを検出する機械学習モデルを追加しています。この検出機能は、すでに Sophos NDR のセンサーに配備済みであり、追加のアップデートは不要です。

Pikabot の仕組み

トロイの木馬型マルウェアである Pikabot は、2 つの主要コンポーネント (ローダーとコアモジュール) からなるモジュール型です。コアモジュールはマルウェアの機能の大半を実行し、ローダーはそうした悪意のあるアクティビティの実行を支援します。¹.².

Pikabot はバックドアとして動作し、標的システムへの不正なリモートアクセスを可能にします。Pikabot は、C&C (C2) サーバーからコマンドを受け取り、任意のシェルコード/DLL/実行可能ファイルの挿入から、Cobalt Strike などの他の悪意のあるツールの配布まで、さまざまな操作を行います。このことから、Pikabot は多段階攻撃において威力を発揮する可能性があると考えられます。

Pikabot が実行できるコマンドは、シェルコマンドの実行、EXE や DLL ファイルの取得と実行、詳細なシステム情報の送信、C2 チェックイン間隔の変更、さらには現在実装されていない「destroy」コマンドなど、多岐にわたります。¹.

配布方法

初期の分析では、Pikabot はトロイの木馬「Qakbot」によって配布されたと考えられていました。しかし、調査を進めたところ、Pikabot の配布方法は Qakbot のそれと酷似していることが判明しました。配布方法の詳細は現在も不明ですが、既知の Qakbot キャンペーンとの明確な類似性が確認されました。¹.

Pikabot の手口

Pikabot はモジュール構造であるが故に、さまざまなアクティビティを実行できます。ローダーコンポーネントの機能は限られていますが、実際の動作が行われるのはコアモジュールです。Pikabot は、コアモジュールのペイロードを復号化して挿入する前に、インジェクターを配備してアンチ分析テストを実行します。いずれかのテストが失敗した場合、Pikabot は実行を中止するため、研究者にとっては Pikabot の行動の分析が困難になります。

Pikabot は分析に対抗する手法として、デバッガー、ブレークポイント、システム情報の存在をチェックします。ADVobfuscator のようなパブリックツールを使用して文字列を難読化するほか、サンドボックス環境やデバッグなどの分析の試みを検出するためのメソッドを数多く装備しています。

コアモジュールのペイロードは巧妙に暗号化され、PNG 画像に保存されています。これらの画像はハードコードされた 32 バイトのキーを使って復号化され、復号化されたデータはさらに AES (CBC モード) を使って処理されます。ペイロードはその後、WerFault などのプロセスに挿入され、Pikabot は挿入されたプロセスを未署名の Microsoft バイナリから保護する目的で特定のフラグを設定します。².

興味深い発見

Pikabot の興味深い機能の 1 つとして、標的システムの言語がグルジア語、カザフ語、ウズベク語、タジク語であった場合に自身を終了させることが挙げられます。このことから、Pikabot の作成者が特定地域のシステムを意図的に避けていると考えられます。さらに、C2 サーバーとの最初の通信で発見されたバージョン番号 (0.1.7) が示唆するように、開発の初期段階にあるようです。².

また、Pikabot は別のマルウェアファミリ「Matanbuchus」とも酷似しています。どちらも C/C++ で記述されており、ローダー/コアコンポーネントの分離を利用し、トラフィックに JSON+Base64+暗号を使用し、ハードコードされた文字列を広範囲に使用します。これらの類似点から、この 2 つのマルウェアファミリには関連性があることが示唆されています。¹.

Pikabot C2 のインフラストラクチャ

Sophos NDR の 2023 年 6 月のアップデートでは、Pikabot を検出する CNN モデルが追加されており、新しい C2 サーバーが次々発見されています。

注: ソフォスの検出結果に関する VirusTotal の情報に遅れが生じています