CHIMNEYSWEEP
分類・用途
Windows向けバックドア型マルウェア
Telegramまたは攻撃者管理インフラをC2として利用し、侵害端末の情報収集、追加ペイロード取得、遠隔操作に使われる
別名
Malpediaで別名を確認できず、不明
利用する攻撃グループ
Mandiantは2022年8月時点で、CHIMNEYSWEEPを含む活動について特定の名前付き脅威アクターへの紐付けはできないが、イランの目的を支援して活動する1つ以上の脅威アクターが関与した可能性を中程度の確信度で評価している 発見時期
Mandiantが2022年7月のアルバニア政府機関を狙った破壊的活動の調査で特定した
観測されたデコイ内容に基づき、少なくとも2012年までさかのぼってペルシャ語話者およびアラビア語話者を標的に使われていた可能性がある
プログラム言語
主本体の実装言語は不明
権限昇格用の一部ペイロードとして.NETローダーを使用する
機能・特徴
スクリーンショットを定期取得し、ディスク保存またはC2へのアップロードを行う
ファイルとディレクトリの列挙、条件に合うファイルの収集、リムーバブルドライブの監視、C2へのファイルアップロードを行う
キーロギングとクリップボード監視をサポートする
リバースシェルと独自の対話型コマンドプロンプトを備え、コマンド実行、ファイル操作、システムのシャットダウン、再起動、ログオフを実行できる
Telegram botのGetUpdates APIまたはHTTP GETベースの攻撃者管理C2を利用する
被害端末のコンピュータ名とユーザー名を含む識別子をC2通信に使う
C2データやAPI文字列の処理にカスタムBase64アルファベットとRC4キーを使用し、ROADSWEEPとコード上の重複がある 有効なデジタル証明書で署名されたWindows Cabinet自己解凍形式のドロッパーから投下された事例がある
WindowsのSilentCleanupスケジュールタスクやCMSTP.exeを悪用して権限昇格を試みる
DeepFreezeの実行有無を確認する処理や、ファイルタイムスタンプを偽装する処理が確認されている
オープンソース情報
オープンソースとして公開されている情報は確認できない
ベンダーレポート