マルウェア

商用RAT Adwindの調査: その誕生から名称変更のタイムライン、作者特定まで

Clock Icon 4 min read

This post is also available in: English (英語)

エグゼクティブ サマリー

2012年の初め、ある開発者がAdwindファミリ最初の「Frutas」と呼ばれるJavaベース リモートアクセス ツール(RAT)の販売を開始しました。それから数年の間に、同製品は少なくとも7回、ブランディングを変更しています。これらのブランディングには、Adwind、UnReCoM、Alien Spy、JSocket、JBifrost、UnknownRat、JConnectProなどがあげられます。

Adwind RATファミリは、いぜんとしてインターネットでの利用が多いツールで、パロアルトネットワークスでも同ブランドに属するAdwindサンプルを45,000件以上収集しています。また2017年以降、弊社では同ブランドのサンプルによる弊社顧客への攻撃が200万件以上行われていることを確認しており、ここからも当該商用RATの影響が相当に高いことが窺われます。

マルチプラットフォーム型Adwind RATファミリの最初の6つのブランディングについては、すでにかなり詳細に文書化が行われていますので、本稿ではそれらRATの再分析は行いません。かわりに、これまで文書化されたことのない2つのブランディング、すなわち「Unknown RAT」と「jConnect Pro RAT」について解説し、いくつか通説上の誤りについて指摘したいと思います。なお、当該商用マルウェアの作者はさまざまな変名を利用してはいますが、実際の所有権は移動していないことを弊社は特定しています。そこで、本稿ではどのようにしてそれが特定されたかについても解説します。

また本稿では、Adwind RATファミリがおそらく最初はサイエンス プロジェクトとして始まったこと、やがて広く利用可能な商用マルウェアへと進化したこと、最終的にクローズドと思われる顧客ベースの個人販売へと発展していったこと、ライセンス版サンプルからクラック版を分離する技術を開発し、そこから得られた無料のクラック版が持つ影響、さらには一連のブランディング変更がリサーチャーの報告がきっかけとなっていることが確認された点、これらについても考察していきます。

RATの誕生

2012年1月11日、スペイン語のindetectables[.]netフォーラムのユーザー「adwind」が、図1および2に示す新しい「Frutas Rat」プロジェクトについて投稿しました。このテキストをGoogle翻訳で英訳したものを図1に続けて記載します。

図1 Adwindが「Frutas」を発表

“Fruits Rat [Java] Src Project [Reverse Connection]…
This is a project that starts yesterday jejeje I upload it for the curious, this project I will continue little by little because I try to do everything myself.
(これは昨日始めたばかりのプロジェクトです、へへへ。このプロジェクトをアップロードしたのは興味があったからです。これからちょっとずつやっていくつもりです、ぜんぶ自分でやりたいからです。)
Without using 3rd codes
I use Netbeans as an IDE.
(サードパーティのコードつかわないです。IDEにNetbeans使います。)
Do not ask me why the name of the RAT XD”
(RATの名前の由来はきかないで、はっはっは )

図2 Frutas RAT

2012年を通じ、同ユーザーはFrutasの更新版をいくつかリリースしました。2012年12月までに、Adwindは無料のFrutasを有料の「Adwind RAT」としてブランディングの変更をしました。

ブランディング変更

次の図3、図4が示すとおり、2013年初めに名前が変更されたAdwind RATは、adwind[.]com[.]mxで販売を開始しました。

図3 adwind[.]com[.]mx (2013年)

.図4 Adwind RAT バージョン2

2013年10月5日、Adwindは「V3.0」をリリースし、同RATを「他者」に譲渡すると宣言しました。 この「他者」が同RATのブランディングを再変更しています(図5参照)。このテキストをGoogle翻訳で英訳したものを図5に続けます。

図5 Adwindが所有権の譲渡を宣言

“Well many know or not but the project already I it will not handle, it will be others that will be called by another name.”
(たくさんの人が知ってるかもだけど、私はもうこのプロジェクトすでにやらないつもりで、別の人のものになって別の名前で呼ばれます)

Adwindはこのほか、以下のようにも説明しています。

“You judge if it is better than the JRAT :D”
(JRAT よりいいかどうかの判断はまかせます(笑) )

JRATとAdwind RATファミリには関連があるとするリサーチャーもいます。JRATもまたJavaで書かれたRATではありますが、私たちはJRATとFrutasは完全に異なる作者によって書かれたものと結論づけています。

それではなぜ、ブランド名の変更をしたのでしょうか。同RATファミリが、この後のバージョンで名前を変更している理由は他にもいろいろ考えられると思いますが、少なくともこのケースでAdwindの作者は同マルウェアの継続的開発・販売によって自身の身元が明かされることを避けたかったようです。Adwindは、この同じIDを使いつづけた場合、運用セキュリティ(OpSec)に失敗すれば、自身の身元や所有権が露呈するのでは、と(正しく)恐れたのかもしれません。

UnReCoM RAT

Adwindの「所有権の変更」発表の1週間後の2013年10月12日に、ドメインunrecom[.]netが登録されました。このサイトが、Adwindファミリの次のブランディング名である「Universal Remote Control Multi Platform」(UnRemCoM)RATを販売していたサイトです。表向き、サイト上での新しい管理者は「UnReCom Soft」とされ、そのほかの場所では「Lustrosoft」とされていました。図6は、米国、スペイン、メキシコにいる被害者との接続状況を示しています。

https://web.archive.org/web/20131125010330im_/http:/unrecom.net/images/yootheme/demo/default/slideshow/1.png図6 UnReCoM RAT

図7に示すように、このサイトでは月ぎめのサブスクリプションと、完全な買い切りソフトウェアという両方のオプションを用意していました。これが「マルウェア・アズ・ア・サービス」(MaaS)モデルであると説明するリサーチャーもいますし、たしかに商用マルウェアが月ぎめでライセンス供与されることはありえますが、実際には「サービスとして」提供されているわけではありません。RAT購入者はRATスタブの構築、C2、「暗号化」(スタブの暗号化)、拡散/感染に対する全責任を負います。これとは対照的に、Webmonitor RATの場合、MaaSの定義により近いC2サービスを提供しています。

図7 UnReCoMの購入オプション

同サイトではマルチプラットフォームでRATクライアントが利用できることを誇らしげに説明しており、Windows XPから8.1まで、Mac、Linux、Androidがサポート対象OSとして記載されています。

「UNRECOMはすべてのOSを一箇所で管理できる世界唯一のソフトウェアです。。一箇所ですべてのデバイスを完全に制御できます。」

さらには詭弁を弄して自身がマルウェアであることを否定しています。

「Unrecomはマルウェアですか?

違うです。機能するのに両方のデバイスにソフトウェアをインストールする必要がある。」

Alien Spy

Alienspy[.]netは2014年6月7日に登録されました。このブランド名の変更理由はわかっていません。未使用分のソフトウェア購入残高やサブスクリプションの引受けをきらった作者が意図的に「新しい」ソフトウェアを作って購入させようとした、という可能性はあります。あるいは、評判にまつわる問題を回避するためだったのかもしれません。Adwindファミリは、そのさまざまなリリースにおいて、「サポートが悪い」、「購入が不渡りになる」、などの苦情をフォーラムによく寄せられていたからです。

「Alienspyはぜんぜん良くない、これは史上最悪のRATだ、だまされるな、所有者は多額のお金を必要としている、作者はみんながHwIDを買って捨てるようにしむけてる、ずっとソフトを買いつづけさせるために、Alienspyは機能することもある、でもいつもじゃない、安定性に問題がある、でも所有者はすごく現金にこまってる、だから見てればそいつは複数RATを作って名前を変えてたくさんの人からお金を取って…」

以下の図8に示すように、同サイトが誇らしげに載せている顧客コメントは、同ソフトウェアの目的が正当な管理用ツールであるとする主張とまったく相容れないものとなっています。

図8 顧客のコメント(「このソフトウェアはすばらしい、完全版のプランで買って数週間で1000米ドル以上稼げた」)

2015年4月8日にFidelisがAlien Spyに関するあるレポートを公表しました。その後4月末までに、新しいAdwindファミリのブランディング用ドメインが登録され、レジストラはalienspy[.]netを停止しました。このブランド名変更の動機はごく明らかですが、作者はこの機会をもちゃっかり利用していたようです。

「私はalienspyの1年メンバーシップを購入したユーザーですが、メンバーシップ有効期限が切れる前にRATが停止されてしまいました。そのぶん新しいjsocketで割引をしてもらおうと思ったのですが、サポートからは何の連絡ももらえませんでした」

なお、図9に示すAlien SpyのSkypeプロファイルから、これらのブランド名の間につながりがあることは明らかです。

図9 Alien SpyのSkypeプロフィール

JSocket

次のブランディング用のドメインjsocket[.]orgは、2015年4月20日、つまりFidelisによるレポート公表の12日後に登録されました。同ドメインは2016年の初めごろからアクティブなWebサイトに解決されることはありませんが、2019年8月時点でまだ登録されています。

図10は、このサイトとその前身のサイトとの顕著な類似を示しています。

A screenshot of a cell phone Description automatically generated図10 alienspy[.]netとjsocket[.]orgのサイト間比較

2016年2月、Adwindの作者が逮捕されたという根拠のない噂がフォーラムに飛び交いました。

2016年2月8日には、KasperskyがJSocketに関するレポートを公開しました。

JBifrost

Adwindの作者は2016年2月8日のKasperskyのリサーチ結果の公開でもすばやく対応しました。新しいドメインjbifrost[.]comがたった2日後の2月10日に登録され、jsocket[.]orgは、Webサイトをユーザーによるスパム行為の禁止と法的問題に関する主張といった内容に置き換えており、その後2016年2月13日以降は当該ドメイン名は解決されなくなりました。

Image result for "jbifrost"図11 JBifrost RATのロゴ

同サイトは、これまでのようにやかましく広告を打つことはやめ、かわりにフォーラムやセールス、チャット機能を備えた会員限定のプライベートサイトに作り変えることにしたようです。

なお同サイトは2016年6月下旬にISPによって停止されたことが報告されており、Fortinetが2016年8月16日にjBifrostに関するリサーチ結果を公表しています。

Unknow(n) RAT

Adwindの作者はjbifrost[.]comの停止後、サイト再構築に少し時間をかけたようです。Unknowsoft[.]comは、2016年の夏、jbifrost[.]comが停止された約1か月後の2016年8月2日に登録されました。ここでも同サイトはやかましく広告を打つかわりに個人会員向けサービスの形態を好んだようです。

図12 Unknow(n) RATのロゴ

ただし、図12が示すように、同ブランドに使用されたロゴは、図11で示した以前のjBifrostロゴから本質的には変更されていません。

同サイトは、レジストラによって2017年8月4日にパーキングされ、2017年12月に失効させられました。レジストラは以前2016年9月下旬に同サイトを一時停止していましたが、2016年12月にはUnknow(n) RATの後継ドメインが登録され、このことが新たなブランド名への移行の区切りとなったようです。

jConnectPro

Adwindファミリの最後の既知のWebサイトであるjconnectpro[.]infoは、2016年12月10日に登録されました。

図13に示すように、このサイトでは親切にも同マルウェア ファミリのつながりやその進化を文書化してくれています。

「AlineSpy >> jSocket >> jBifrost >> UnknownSoftware >> jConnectPro」

図13 jconnectpro[.]info

図13に示すjConnect Proサイトは、図14に示すように、以前のUnknown RATサイトとの明らかな類似が見られます。同サイトは2017年4月上旬にISPによって停止されました。

なお、jconnectpro[.]infoについては、「Adwindが運営していたものではなく、その名を詐称する誰かがUnknown RATのクラック版を販売していた」という可能性もあります。ISPによる停止以前、Unknown RATのサイトunknowsoft[.]comは「ソフトウェアは引き続き動作するが現在新規顧客は募集していない」という発表を掲げていました(図14参照)。

“Unkonown Software is currently unavailable
(Unkonown Softwareは現在利用できません)

Not new users or renews in this moment.
(現在新規ユーザー募集やリニューアル提供は行われていません)
You can continue to use our software but you will not be allowed to login in our website.
(当社のソフトウェアは引き続き利用可能ですがウェブサイトへのログインはできません)

Each membership of users will continue active until this expire.
(ユーザーのメンバーシップは有効期限が切れるまで利用可能です)

Enjoy!
(お楽しみください)
And Good luck for ever.
(皆さんに、幸多からんことを)

Mastermind Team.
(Mastermindチームより)
We can just say good bay for ever.
(それではほんとおにさよおなら)

We finished our work here since our software was selled to other team of developers.
(私たちのソフトウェアは他の開発者チームに販売されたので、ここでの作業は終了しました。)
I don’t know if they will continue or not.
(彼らが開発を継続するかどうかは私にはわかりません)
But we will try to update stub for currents users with active memberships.”
(でも、有効なメンバーシップを持っている現在のユーザーのスタブは更新しようと思います。)

この後、偽物・偽者とされるものについての不満が続きます。特筆すべきは次のコメントでしょう。

http://jconnectpro[.]info – a FAKE”
(http://jconnectpro[.]info はニセモノ)

同サイトのRATブランド名変更のタイムラインには、元のサイトとは異なり、キャピタライズされた名前が含まれています。

https://www.siteshotter.com/website-thumbnail/unknowsoft.com_medium図14 Unknown Software は「利用不可」

クリプティング」な謎

unknownsoft[.]comとjconnectpro[.]infoの停止後、Adwindの消息は途絶えました。今回はAdwindによるRATの新規ブランド名は見つかりませんでしたが、JavaベースでRATに特化した暗号化(クリプティング)サービスが見つかりました。

マルウェア利用者は「暗号化」と呼ばれる手法を使用してシグネチャベースのウイルス対策検出を回避することがあります。暗号化を行うと、マルウェアのバイナリファイル機能を変更することなく、新しく一意なハッシュ値を持つよう変更をかけることができます。このようなファイルを指して「FUD(fully undetectable: 完全に検出不可能なファイル)」、と呼ぶことがあります。

Javaに特化した商用RATは比較的まれで、同暗号化サービスは、そのブランド名「UnknownCrypter(unknowncrypter[.]co)」にもUnknownRATの名前を採用しているようです。(図15参照)。

[Image: MFcmqy.png]図15 UnknownCrypter

さらに初期の調査からも、UnknownCrypterにはスペイン語関連のアーティファクト(痕跡)がいくつか発見されました。まず私たちは「Adwindが自身のJavaコーディング知識を活かしてRATと並ぶ2つめの収益源として同システムを自身で運用していたのではないか」と疑いましたが、さらに調査を進めた結果、最終的にはこれがAdwindではなくあるナイジェリア人が運営する「FUDCrypter」サービスのブランド名変更後の名前であるものと判断しました。

ナイジェリアのサイバー犯罪に関するSilverTerrierの調査においても、私たちはサイバー犯罪のコミュニティで商用RATの人気が高まっている点に着目していましたし、漏洩した商用マルウェア顧客リストに関する調査でも、実際に顧客の大部分がナイジェリア人であることが突き止められました。したがって、さまざまなサイバー犯罪を核としてナイジェリアのエコシステムが急成長していることに鑑みれば、ナイジェリアに拠点を置く暗号化サービスの登場は、特段驚くにはあたらないでしょう。

「このサービスがAdwindによる運営ではない」という私たちの結論をさらに追認したのが、同アクターが最近自身のJavaベースのRATを立ち上げたという事実です。これはAdwindとは非常に異なるコードベースを採用した「WSH RAT」と呼ばれるRATで、AdwindのRATの新ブランド名ではなくAdwindのライバルにあたるものでした。

Adwindのクラック版

AdwindはどうやらWebやフォーラムでのRAT販売は行っていないようですが、それでも疑問は残ります。現在も活動が観測されているAdwindファミリのテレメトリはどのようなものなのでしょうか。

図16に示すように、Adwindファミリマルウェアのクラック版は数年前から流通しており、それはUnknown RATのクラック版まで続いています。

図16 クラック版Unknown RAT

2016年12月5日、私たちは(正規版の)Adwindファミリのサンプルが、BullGuardバイナリ「LittleHook.exe」のレジストリエントリをアンチマルウェアルーチンに追加したことを初めて確認しました。この追加は、jConnectProへの表向きのブランド名変更とも密接に関っており、当該ドメインの登録は同レジストリエントリ追加のわずか5日後に行われています。

本稿では「jconnectpro[.]infoは実際にはAdwindのものではない可能性もある」という但し書きはつけましたが、(このレジストリエントリ追加を正規版であることを示す)マーカーとして使用することで、「正規版の」Adwindサンプルと「クラック版の」Adwindサンプルとを区別することができます。というのも、既知のUnknown RATクラック版はすべて、上記のブランディング変更とドメイン変更「以前」のものだからです。

2016年12月以来、パロアルトネットワークス顧客に対する正規版での攻撃は60万件以上観測されており、ここから私たちは1万4,000件の「正規版」サンプルを収集しています。対し、初期AdwindファミリRATのクラック版は、正規版の2倍利用されているらしく、同一期間においてパロアルトネットワークスの顧客へのクラック版による攻撃は130万件以上観測され、同マーカーを含まない(つまり、クラック版であることを示す)マルウェア サンプルは3万件見つかっています。

消息を絶った?

前述のとおり、jConnectProのWebサイトは2017年4月上旬に停止されました。Unknownsoft[.]comは同サイト上に「使用停止」声明を出しました。ISPの停止は2016年からで、最終的に2017年半ばにはドメインのパーキングが行われました。それまでのブランド名変更とは異なり、Webサイト、Skype、フォーラム、または顧客へのメールでの報告にて観測されていたような新ブランド名への引き継ぎは行われませんでした。フォーラムへの「新Adwind」広告もありませんでした。このことから「Adwindはようやくこの商売から足を洗ったのか」、「現在も観測され続けているAdwindのテレメトリは、クラック版や既存正規版のサンプルがデプロイされ続けているだけなのか」という疑問が沸きおこります。

ところが、私たちは2017年6月5日以降のAdwindのサンプルが、レジストリキー "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessHacker.exe\debugger , Value:svchost.exe , Type:1"を初めて設定するようになったことを発見しました。このレジストリキー設定が行われはじめたのは、jConnectPro Webサイトが停止し、Unknown Softwareが「使用停止」になり、サイトが停止された2か月後のことでした。つまりこのレジストリキーの設定は、「消息を絶った後もRATは継続的に開発されていた」という最初の証拠といえます。

2017年6月5日前後のサンプルにはファイルの書き込みに小さな変更がいくつかありましたが、2017年6月以降に観測されたサンプルになんらかの新機能が追加された様子はとくに確認されていません。同レジストリキーのマーカーを含むサンプルは、2019年9月現在も攻撃中で活発に観測され続けています。

そして物語が生まれる

様々なブランド名でAdwind RATが使用したインフラを分析したところ、このアクターは、めったにないほど優れた運用セキュリティ技能(OpSec)を持っていたことがわかりました。WHOISの記録は偽物で、匿名化されており、ドメインレジストラやホスティングサービスはブランディング変更のたびに明示的に変更されていました。インフラが再利用されることはなく、ほかの活動と不用意に紐づけられないよう、身元が露呈しないよう注意が払われていました。

これまで私たちは何千ものアクターとそのインフラを分析してきましたが、このように一貫して優れたOpSecはまれです。Adwindはただ身元を隠すだけでなく、自身を発見されることをきらい、また自身に悪い評判がたちにくいよう、同RATの所有権変更を匂わせてもいました。

ところが、身元を誤認させようとしたり、ビジネスの売却を装おったりするこの試みこそが、かえってAdwindのOpSecに意図せぬ「パターン」を与えてしまいました。つまり、このOpSecの一貫性こそが、同RATはその全史にわたり、同一アクターの管理下にあったことを示唆していたのです。

ブランディング名こそ変更されているものの、RAT自体はこれまでさほど大幅な変更を経てきませんでした。新しい機能はいくつか追加されているものの、その改善は本質的には拡張というべきものです。所有者やプログラマが変われば当然予想されるような大きな変更は確認されておらず、Javaベースの商用RATが比較的まれである点も変わっていません。

さらに、新ブランド名への移行後も既存顧客を継続的に確保できるよう、毎回注意深い対応が行われていました。たとえば、新しいブランド名は既存Webサイトのフォーラム上やAdwindのSkypeプロファイル(図9参照)、既存顧客へのメールなどにより告知されていました。サードパーティに譲渡された場合にこれほど注意深い対応が行われることはまずないでしょう。

ドメインの移行は毎回すみやかに行われていますし、ブランディング変更が明らかにリサーチ結果の公表をきっかけに起こっているケースも複数ありました(図17のタイムラインを参照)。さらに、図6のUnReComのスクリーンショットが示すように、「譲渡した」という申し立て以降もメキシコ内のホストが依然として大勢をしめていました。

A screenshot of a social media post Description automatically generated図17 Adwind RAT ファミリのタイムライン

これにくわえ、スタイル上の類似点も、RATの異なるブランド同士(図11と12のロゴ、図13と図14のサイト コンテンツ、上記jSocketセクション)をつなげています。実際、Adwindに属していることについて疑念が残るといえる「ブランド変更」はjconnectpro[.]infoの1件だけでした。jconnectpro[.]infoと同じタイムフレームには、タイムライン上重複して「利用停止」状態のunknownsoft[.]comが存在しており、かつunknownsoft[.]comは、jconnectpro[.]infoを「FAKE (ニセモノ)」と呼んでいます。

「Adwind」の正体は誰か

先に述べたとおり、Adwindはめずらしく優れたOpSecの使い手で、当初はインフラから決定的に身元を特定するにはいたりませんでした。

スペイン語、というアーティファクトは、早い段階で明らかになりました。Adwindを販売していた元のWebサイトはadwind[.]com[.]mxでしたし、複数のYouTubeビデオやスクリーンショットからもメキシコ内でホストされているコンピュータが圧倒的多数を占めることが示唆されていました(図18参照)。

図18 YouTube広告におけるメキシコ内でホストされたコンピュータ

メールアドレスadwind[at]live.comは、Frutasサンプル内の文字列でも見つかっており(図19参照)、Adwind 1.0を宣伝するYouTubeビデオでもこれが参照されています。

図19 Frutas内の文字列

同メールアドレスは、Skypeのプロフィール「adwindandres」(図20参照)とも結びついており、そこにはAdwindのロゴが含まれています。

図20 Skypeのプロフィール

同じSkypeのプロフィールは、hackforums[.]netで初期バージョンのAdwind RATを販売するのにも使われていました。さらに、同じSkypeアドレスが元のAdwind Webサイトにも記載されていました(図3と図21参照)。

図21 元のAdwind Webサイトに記載されたSkypeアドレス

そして、同メールアドレスはある学術論文内で見つかり、そこにはAdwindのSkypeに記載された「Andres」という名前が含まれていました。

「C. M. Andrés is a student from J█████ Autonomous University of T██████ in Mexico in the last semester of the degree in computer systems; (email: adwind [at]live.com).”(M. Andrésは、メキシコ ファ█████・アウトノマ・デ・タ██████大学コンピュータシステムズ科最終学期の学生(メール: adwind [at]live.com) )

論文のほかの場所では同人のフルネームが記載されています。

時系列上でadwind[.]com[.]mxの最初のWHOISエントリには、学術論文での名前と場所に一致するフルネームと場所が含まれていました。ただしこのWHOISレコードはその後まもなく偽の情報に変更されています。

Name: Andres A█████ C████████ M█████

City: C███████

State: T██████

Country: Mexico

Adwind Andrésのフルネームは珍しいもののようです。さらにリサーチを続けた結果、同人が上記大学で情報システムを研究している点に言及している記述がほかにもあることが明らかになりました。

ここからさらに同人によるGoogleマップのレビューアプロフィールにつながりました(図22参照)。同プロフィールでは、4,000箇所以上のレビューが投稿されており、そのなかには本稿投稿の数週間前のものまで含まれています。このことから、Adwind Andrésは現在メキシコのC██████に在住していることが窺われます。この場所は、同人の大学から車で数時間の距離にあります。

図22 Googleマップのレビュー

はてしない物語――となるのか

商用マルウェアはそのまますぐに利用できることから、自分でマルウェアを書く能力がなく技術力の低い多数の脅威攻撃者たちにも攻撃力を与えています。たしかにこの作者はクラック版マルウェアが拡散したことで金銭的利益は得られていないかもしれません。それでも結局、元のマルウェアが存在した責任は同人にあります。

2012年の販売開始以来、Adwind RATファミリは、インターネット上の数万件のマルウェアサンプルと数百万件のマルウェア攻撃の発生をもたらしたのですから。

過去8年間にわたり、Adwind Andrésは同マルウェア作者としての自身の身元を隠そうとし、同マルウェアから距離を置こうと次々ブランディング名を変更してきましたが、そうした努力が実を結ぶことはありませんでした。

同人は継続的にソフトウェアを改善しつづけた結果、プライベートでの顧客販売モデルに行き着いたようです。それでも今日にいたるまで同人はソフトウェア開発を続けており、マルウェア攻撃者への販売から利益を得ています。

優れたスパムフィルタリング、適切なシステム管理、最新のWindowsホストを導入している組織については、同脅威への感染リスクはかなり低いでしょう。パロアルトネットワークス製品をご利用のお客様は、同脅威から保護されています。弊社のThreat Preventionプラットフォームでは、WildFireとTrapsでAdwind RATマルウェア ファミリを検出します。AutoFocus をお使いのお客様は次のタグを使用してこれらの活動を追跡できます: Adwind

 

パロアルトネットワークスは本稿で見つかったファイルサンプルやIoCをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

Enlarged Image