ViperSoftX－多段階構成で世界的に拡散する情報窃取型マルウェア

ViperSoftXは、2020年に初めて確認された高度なPowerShellベースの情報窃取型マルウェアであり、その後、高度な回避技術を取り入れるかたちで進化を遂げてきました。
最近の亜種では、モジュール性、ステルス性、永続性が強化されており、暗号化されたC2（コマンド＆コントロール）通信も導入されています。

このマルウェアは主に、韓国、オーストラリア、日本、米国、東南アジアなどの国・地域における個人および企業を標的としており、暗号資産ユーザや関連組織に深刻なリスクをもたらしています。

ViperSoftXは、ユーザが意図せず実行するトロイ化されたソフトウェアのクラック、アクティベーター、キー生成ツールを通じてシステムに侵入します。検知を回避するために、マルウェアはGUIDベースのミューテックスを使用して既存のインスタンスを確認し、必要に応じて実行を遅延させます。

永続性は、AppDataディレクトリ内のPowerShellスクリプト、スケジュールタスク、HKCUレジストリのRunキー、スタートアップフォルダ内のバッチファイルによって維持されます。通信は.NET HTTPクライアントを使用して正規のトラフィックに偽装され、すべてのデータはBase64でエンコードされHTTPS経由で送信されます。マルウェアは定期的にサーバIDを取得し、バックエンドインフラが変更された場合はセッションをリセットすることで、制御を継続します。

OSバージョン、ユーザ名、インストール済みアプリケーション、グローバルIPアドレスなどのシステム情報は、フォールバック用のウェブサービスを通じて収集されます。

ViperSoftXはその後、デジタルウォレットやパスワードマネージャーを探索し、機密資産を標的とします。収集されたデータはXOR暗号化されてC2サーバに送信され、C2からの応答はPowerShellのバックグラウンドジョブを使用して復号・実行され、静かに非同期で動作することでユーザの検知を回避し、システムの安定性を維持します。

ViperSoftXは、ファイルレス実行と暗号化通信によって検知を回避するため、効果的な脅威対策にはスクリプトレベルの監査と行動ベースの監視が必要です。

• 自社環境におけるIoC（侵害の兆候）を監視し、異常を早期に検知する。
•  Windows環境を最新の状態に保ち、多要素認証（MFA）を導入して保護を強化する。
•  包括的な脅威評価（フルスペクトラムアセスメント）を実施し、盲点や改善点を洗い出す。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• Earth Kurma－東南アジアを標的とするステルス型APTグループ（6/3）
• EDDIESTEALER－ユーザを騙すことで拡散するRust製情報窃取型マルウェア（6/10）
• XDSpy－ステルス型の政府侵入活動で再浮上（6/24）