FBI が世界的に展開していたおとり捜査で 24 人以上もの逮捕者が出ましたが、その中に Michael Hogue、別名「xVisceral」なる人物が含まれていました。アンダーグラウンドフォーラムの投稿によると、xVisceral は Blackshades プロジェクトに、最低でもプロジェクトマネージャという立場で関与しています。言うまでもなく、このリモートアクセスツール(RAT)の作成には複数の個人が関与していた可能性があります。
"MICHAEL HOGUE, a/k/a "xVisceral," offered malware for sale, including remote access tools ("RATS") that allowed the user to take over and remotely control the operations of an infected victim-computer. HOGUE's RAT, for example, enabled the user to turn on the web camera on victims' computers and spy on them, and to record every keystroke of the victim-computer's user. If the victim visited a banking website and entered his or her user name and password, the key logging program could record that information, which could then be used to access the victim's bank account. HOGUE sold his RAT widely over the Internet, usually for $50 per copy and boasted that he had personally infected "50-100" computers with his RAT, and that he'd sold it to others who had infected "thousands" of computers with malware. HOGUE's RAT infected computers in the United States, Canada, Germany, Denmark, and Poland, and possibly other countries."
「MICHAEL HOGUE、通称『xVisceral』は、感染被害に遭ったコンピュータを乗っ取り、リモートで制御することが可能なリモートアクセスツール(以下、「RAT」と言う)を含むマルウェアを販売していた。HOGUE の手による RAT は、たとえば被害者のコンピュータで Web カメラを起動して盗み撮りをしたり、キーストロークをすべて記録したりすることができる。また、被害者がオンラインバンクの Web サイトにアクセスしてユーザー名やパスワードを入力すると、キーロガーによってその情報が記録されるため、被害者の銀行口座にアクセスすることも可能になる。HOGUE は RAT をインターネット上で広く販売し(通常は 1 本 50 ドル)、自身も RAT を使って「50 台から 100 台の」コンピュータを感染させたと称しているほか、RAT の購入者がマルウェアで感染させたコンピュータは「数千台」にのぼっている。この RAT で感染したコンピュータの分布は、米国、カナダ、ドイツ、デンマーク、ポーランドだが、他の諸国にも感染が広がっていると考えられる」
出典: 米連邦検事事務所
このツールのコーディングには MarjinZ が使われたようです。BlackShades のソースコードは 2010 年に漏えいしており、どちらのエイリアスもチャットサーバーの管理データベースに出現しています。
図 1. チャットサーバーの管理データベース
W32.Shadesrat はリモートアクセスツール(RAT)の一種で、少なくとも 2010 年から販売されています。
図2. Blackshades のコマンド & コントロールユーザーインターフェース
W32.Shadesrat は多くの標的型攻撃で利用されており、シリアの活動家を狙った最近の攻撃もそのひとつでした(シマンテックでは、この亜種を W32.Shadesrat.C として検出します)。Shadesrat のこの亜種は、侵入先のアカウントからインスタントメッセージを介して送信されました。
インストールされると、RAT は alos[削除済み]6.myftp.org に接続して攻撃者からのコマンドを待ちます。攻撃者は侵入先のコンピュータを完全に制御できるので、キーストロークを記録するだけでなく、サービス拒否攻撃を実行したり、デスクトップ背景画像を改変したりと、さまざまな操作を行うことができます。
シリアの活動家を標的にした RAT は Shadesrat にとどまらず、Backdoor.Krademok(別名 Darkmoon)や XtremeRat も確認されています。
FBI によれば、Michael Hogue は「カーディング」フォーラム CarderProfit の管理者とも連絡をとっていました。Blackshades の販売促進を狙ったものとみられますが、これが最終的には Hogue の逮捕につながりました。コンピュータへのハッキングとマルウェアの配布を共謀したことの罪科は重く、それぞれが最高 10 年間の禁固刑に当たる場合もあります。
Blackshades の Web サイトでは依然として RAT が売られていますが、xVisceral 自身はこのプロジェクトから 2011 年には身を引いていたようです。
図 3. xVisceral の引退宣言
シマンテックでは、この RAT に関する今後の進展について引き続き監視を続ける予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。