最近、私の耳に気になる情報が入ってきました。それは、「Strela Stealer(ストレラ・スティーラー)」というマルウェアに関するものです。このマルウェア、どうやら私たちのメールアカウントを狙っているようなんです。
因みにStrela Stealerの名前は「Strela」は、ロシア語で「矢」を意味する言葉で、軍事兵器の名称としても使われています。そのため、「ストレラ」と発音します。「Stealer」は、英語で「盗むもの」を意味し、こちらはカタカナ表記で「スティーラー」です。
Strela Stealerってどんなマルウェア?
Strela Stealerは、2022年から活動が確認されている、私たちのパソコンに侵入して個人情報を盗むマルウェアです。特に、Microsoft OutlookやMozilla Thunderbirdといったメールソフトに保存されているアカウント情報を狙っています。最近では、手口がどんどん巧妙になってきているんだとか。
どうやって感染するの?
主な感染経路は、フィッシングメールです。請求書や大事な連絡を装ったメールに添付されたZIPファイルを開くと、マルウェアに感染してしまう可能性があります。特に最近は、本物のメールを転送して、そこに悪意のあるファイルを添付するような手口も増えているので、注意が必要です。
感染するとどうなるの?
感染すると、メールアカウントのIDやパスワードが盗まれてしまいます。これにより、あなたのメールアカウントが乗っ取られ、知らないうちにスパムメールを送られたり、個人情報を悪用されたりする可能性があります。
どうすれば防げるの?
では、どうすればStrela Stealerから身を守ることができるのでしょうか?
- 怪しいメールは開かない:差出人が不明なメールや、不審な添付ファイルが付いているメールは開かないようにしましょう。
- セキュリティソフトを最新に保つ:セキュリティソフトを常に最新の状態に保ち、定期的にパソコンのウイルスチェックを行いましょう。
- OSやソフトウェアを最新に保つ:OSやソフトウェアのアップデートを怠らないようにしましょう。
- 不審な動きに注意する:パソコンの動作が遅くなったり、身に覚えのないファイルが増えたりしたら、ウイルス感染を疑いましょう。
万が一感染してしまったら?
もし感染してしまった可能性がある場合は、以下の対応を行いましょう。
- インターネットから切断する:感染拡大を防ぐため、すぐにインターネットから切断しましょう。
- セキュリティソフトで駆除する:最新のセキュリティソフトでウイルスチェックを行い、駆除しましょう。
- パスワードを変更する:メールアカウントやその他のサービスのパスワードを変更しましょう。
- 専門機関に相談する:必要に応じて、専門機関に相談しましょう。
WindowsDefenderでも防げるっぽい
Strela Stealerは、私たちの個人情報を狙う危険なマルウェアです。日頃からセキュリティ対策をしっかりと行い、被害に遭わないように注意しましょう。もしもの時は、落ち着いて適切な対応を取ることが大切です。
一説では標準装備となるWindowsDefenderでも防げるとの事ですので、常に最新のOSリビジョンを保ちつつ、WindowsUpdateを行うように心がけましょう。
また、インターネットで掲載されている情報を元に、Strela Stealerマルウェアに関する分析レポートにまとめましたので一読頂ければ幸いです。
Strela Stealerマルウェア分析レポート
標的情報と被害状況
- 標的:Microsoft Outlook、Mozilla Thunderbirdのメールアカウント、システム構成情報、インストール済みアプリケーション
- 主な標的地域:イタリア、ドイツ、スペイン、ウクライナ
- 背後の脅威アクター:「Hive0145」
感染と伝播の方法
- 主な感染方法:悪意のあるZIP添付ファイルを含むフィッシングメール
- 実行チェーン:JavaScriptローダー → PowerShell実行 → WebDAVからのDLL実行
- 「ファイルレス」実行により回避能力を高める
検知と対策
- 検知方法:コマンドライン監査、Sysmonの利用、不審なファイル実行の監視、ネットワーク接続の監視、セキュリティベンダーの検知ルール利用、IOCの確認
- 対策:実行ブロック、ユーザー教育、エンドポイント保護、アクセス制御、スクリプト実行制限、マルウェア定義の更新
最近の動向と進化する戦術
- 2024年を通じて活動を継続
- 新しい機能が追加された亜種が登場
- 標的地域をウクライナに拡大
- 難読化技術がより複雑化
- ソーシャルエンジニアリングの手法も進化
IOC情報
| タイプ | 値 | 説明/コンテキスト |
| ファイルハッシュ (SHA256) | D27A551D2236B3B36B0FCF5C4CAA42FC209EC6AEB1D8971C9B0E91892ACA1CA2 | 初期JavaScriptローダー |
| ファイルハッシュ (SHA256) | 0AD95C8780ADFA4271D2A9C910D83368513C5C95536B82B5BD098F1D0A74075C | メイン64ビットDLL |
| ファイルハッシュ (SHA256) | 48211AFD43DEFEDFEE988DDD61304C263713532DF59354592930DE28806D0FD5 | 注入された64ビットペイロード |
| IPアドレス | 94[.]159[.]113[.]204 | C2サーバーのIPアドレス |
| URL | http://94[.]159[.]113[.]204/up.php | C2サーバーのURL |
技術手法
| 手法 | 段階 | 説明 |
| 多層難読化 | JavaScriptローダー、メインDLLペイロード、最終段階ペイロード | 分析を複雑にするための複数の難読化レイヤーの使用 |
| 制御フローの平坦化 | メインDLLペイロード、最終段階ペイロード | コードの実行順序の分析を困難にする |
| ジャンクコードの挿入 | JavaScriptローダー、メインDLLペイロード | コードの分析と理解を妨げるために無関係なコードを追加する |
| WebDAVの利用 | 初期感染、DLLペイロード配信 | リモートサーバーから悪意のあるDLLをダウンロードして実行するためにWebDAVプロトコルを使用する |
| ファイルレス実行 | メインDLLペイロード | 悪意のあるDLLをディスクに保存せずに実行する |
| カスタムクリプター (‘Stellar loader’) | メインDLLペイロード | Strela Stealerペイロードを保護するために開発された専用の暗号化ツール |
| APIの動的解決 | メインDLLペイロード | 検出を回避するために、kernel32.dllから必要なAPI関数を動的にロードする |
| 不透明な述語 | メインDLLペイロード、最終段階ペイロード | コードの解析を複雑にするために、常に真または偽と評価される条件文を使用する |
| 冗長なファイバー操作 | メインDLLペイロード、最終段階ペイロード | デバッガーによる分析を困難にするためにファイバーを使用する |
このレポートが、Strela Stealerに関する理解と対策の一助となれば幸いです。
