Blog

サイバーリーズンブログ

ブログTOP

HUNTING RACCOON：地下コミュニティ市場に登場した新たな情報スティーラーの実態

Post by : CYBEREASON NOCTURNUS

調査・研究者：Assaf Dahan、Lior Rochberger

2019年4月以降、Cybereason Team Nocturnusは、組織や個人がRaccoon Stealerに感染しているケースを複数調査してきました。この調査レポートでは、主なポイントとして、以下の2点に焦点を当てています。

地下グループの状況の把握：Raccoonの開発元、開発チームのメンバー、ビジネスモデル、マーケティング活動のほか、サイバー犯罪者の地下コミュニティにおけるRaccoonの評判、チーム内における不和や直接の競合相手との紛争について、調査結果をご説明します。
技術的な分析：Raccoonの現行の機能やデリバリー手法の技術概要を包括的に説明するとともに、このマルウェアで将来提供が予定されている内容についても触れます。

Recorded Future の評判のマルウェア上位10に、2019年の7か月間ランクイン

Raccoon Stealerは地下経済において2019年に評判のマルウェア上位10にランクインしています。また、それほど手の込んだマルウェアでも、革新的なマルウェアでもないにもかかわらず、グローバルレベルで数十万のデバイスに感染していることが広く知られています。

このマルウェアは、初めて登場したのが2019年と最近でありながら、サイバー犯罪者のあいだですでに大きな支持を得ています。機能セットに制限があってもRaccoonの人気が高いという事実は、マルウェアの開発者がMaaS（サービスとしてのマルウェア）モデルを追求しその取り組みを発展させているなかでマルウェアのコモディティ化が継続的に進んでいることを示しています。

主なポイント

Raccoon Infostealer：:Cybereason Team Nocturnusは2019年4月以降、Raccoon Infostealerに関係する複数のインシデントを調査してきました。チームは現在、このマルウェアの技術的な側面を詳細に分析することや、マルウェアの背後に存在するロシア系と思われるグループについての詳しい調査が可能になりました。
広範な種類のデータを窃取：:Raccoonには手の込んだ機能は実装されていません。しかしデリバリーに複数の手法を利用することができ、クレジットカードの情報や暗号通貨のウォレット、ブラウザのデータ、メールの認証情報をはじめとする広範な種類の重要なデータを窃取することが可能です。
すぐに勢力を拡大：:今年の初めにリリースされたにもかかわらず、Raccoon Stealerは地下コミュニティで爆発的な人気を博しており、市場において2019年に評判のマルウェア上位10にランクインしています。また、北米や欧州、アジアといった地域の組織、個人のエンドポイント数十万に、グローバルレベルで感染しています。
個人が簡単にサイバー犯罪に手を染められる環境を提供：:Raccoonはサービスとしてのマルウェアのモデルに従っています。このモデルでは、大掛かりな投資やテクニカルなノウハウを必要とせずに個人が機密情報の窃取を通じて手軽で簡単に金銭を稼ぐことができるとされています。
地下コミュニティで高い評価を獲得：Raccoonの背後に存在するチームは提供しているサービスやサポート、ユーザーエクスペリエンスの質の高さから、地下コミュニティで評価されています。しかし、公に複数の争いを起こしており、組織の内部にも不和を抱えています。

RACCOON INFOSTEALERとは何か

「Mohazo」や「Racealer」としても知られるRaccoonは、シンプルな情報スティーラーを中心に構成されており、多くの場合、FalloutエクスプロイトキットやRIGエクスプロイトキットによりデリバリーされます。

クレジットカードの情報や暗号通貨のウォレット、ブラウザ関連の情報、メールクライアントの情報などのデータを窃取するのに使用されます。高度な機能を備えたマルウェアではありませんが、グローバルレベルで数十万のデバイスに感染しているものと見られ、その名前は、地下コミュニティにおいて2019年に評判のマルウェア上位10にランクインしています。

RaccoonはC++で記述されており、32ビットと64ビットのオペレーティングシステムで機能します。当初はアンチウイルスソフトを扱う多くの企業がRaccoonをパスワードスティーラーに分類していましたが、弊社を含むコミュニティのほかの企業はRaccoonに広範な機能があることを把握しており、Raccoonを情報スティーラーに位置付けています。

Raccoonはシステムファイル内に存在するある一定範囲の機密情報を探索してこれらを保存し、攻撃者に送ります。Raccoonは以下の情報を収集することができます。

クレジットカードの情報
暗号通貨のウォレット
パスワード
メール
普及しているブラウザすべての中にあるクレジットカードの情報やURL、ユーザー名、パスワードなどのデータ
Cookie
システム情報

攻撃者の概要

Raccoon Stealerは、ロシアないしはロシア語圏出身とみられる人物のチームが開発しています。このチームは当初、ロシア語のハッキングフォーラムに限ってスティーラーの販売を行っていましたが、現在では英語のコミュニティでも精力的に販売活動を展開しています。2019年4月以降、サイバー犯罪者の地下組織で大きく売上を伸ばし続けています。

ロシアの地下フォーラムで販売されているRaccoon Stealer

RaccoonはMaaS（サービスとしてのマルウェア）として販売されており、自動化された操作の容易なバックエンドパネル、強固なホスティング機能、ロシア語と英語による24時間365日体制のサポートなどをその特徴としています。この記事の執筆時点では、月額の使用料が200ドルになっています。

Raccoon チームの連絡先

ほかのサービスとしてのソフトウェアと同様にRaccoon Stealerには常に改良が加えられているようです。開発チームの動きや対応は素早く、専任で開発にあたっており、数日といった短期の開発サイクルでアップデートやバグ修正、新機能をリリースしています。地下コミュニティでは「raccoonstealer」のユーザー名を用い、非常に活発に活動しており、地下フォーラムやTelegramでは毎日記事を投稿し、質問やコメントにも数時間で返信しています。

Raccoon Stealerの背後に存在するのは何者なのか

Raccoonの背後に存在するチームの素性は依然明らかになっていませんが、地下コミュニティのメンバーの一部は、このプロジェクトがよく知られたコミュニティの別のメンバーであるglad0ffと関係があると主張しています。このような意見を唱え始めた人物のなかに、プレデタースティーラーの開発者であり、特にRaccoonを厳しく攻撃している一人であるAlexuiop1337がいます。もちろん、直接競合する相手の意見は鵜呑みにするべきではありません。それでも、Alexuiop1337がブログに投稿している記事のリードを読む限り、glad0ffとRaccoonとのあいだに関係がある可能性は否定できません。

ハッキングしたRaccoon Stealerのパネルと漏洩した顧客ベースを分析したところ、Raccoonの管理者は「glad0ff」というハンドルネームのユーザーである可能性が浮かび上がってきました。Raccoonのチームが地下コミュニティでRaccoonの売り込みを盛んに始める約2か月前の2019年2月に、「glad0ff 」というユーザーがRaccoon Stealerのデータベースに作成されています。

Raccoonのデータベースに残されたユーザー作成日付の情報にある「glad0ff 」の文字列

地下フォーラムでRaccoonが言及され始めたときの情報の1つ

GLAD0FFとは誰なのか

glad0ffのサイバー攻撃者としてのキャリアは長く、DecruxクリプトマイナーとAcruxクリプトマイナーや、Mimosa RAT、ProtonBotローダーなどのマルウェアの開発に従事してきました。glad0ffは、使いやすい包括的なソリューションを求め高度な技術を持たないサイバー犯罪者の要求に応えています。

Raccoonのユーザーと同様に、glad0ffの多数あるこれまでのプロジェクトを利用しているユーザーも、サービスの品質や対応の献身ぶり、問題修正時の素早いアクションを評価しています。

これまでは、glad0ffは単独で活動していると信じられてきましたが、後で説明するように、Raccoon Stealerにはほかのメンバーも関わっていることを示唆する情報がいくつもあります。

2019年4月にglad0ffは地下フォーラムの多くで投稿をやめていますが、この点も注目に値します。これは、Raccoon Stealerの提供が始まったタイミングと一致しています。

glad0ffというユーザー名を確認できる最後の日付

ほかのサイバー攻撃者が提供するマルウェアとRACCOONとの関係

地下コミュニティのほかのメンバーは、Raccoonと、VidarやBaldrなどのスティーラーとのあいだに何らかのつながりがあるのではないかと疑っています。双方には類似点が多数あることに気付いているからです。Raccoonのチームメンバーは一貫してほかのスティーラーとのいかなる関係も否定しています。

「Vidarのチームとの関係はあるか」との質問に対し、「関係はない」との回答

地下コミュニティでのRACCOONの評判

多くの個人がRaccoonのレビューの投稿を望んでいます。これは注目すべきことであると言えるでしょう。一方、MaaSを選択したマルウェアの開発者は、マーケティングや好意的なレビューの活用、即応性の高いカスタマーサポートの提供、製品の定期的な機能向上といったような、正規のSaaSビジネスにおけるのと同じ活動を多くしています。

好意的なフィードバックと肯定的な評価

地下コミュニティにおけるRaccoonに関するフィードバックは、概して好意的な内容のものがほとんどです。コミュニティのメンバーの多くが、Raccoonのマルウェアとしての機能やチームが提供するサービスを評価、支持しています。コミュニティのなかには、有名なAzorultの代替として相応しいスティーラーであると評価する向きさえあります。

ただし、いくつかの否定的な意見がある点も重要です。高度なスキルを持つコミュニティメンバーは、Raccoonがほかの情報スティーラーと比較して単純であり機能に不足もある点を見抜いています。しかしそのように、機能や、洗練された仕組みや、イノベーションの点で不足があっても、このマルウェアには、それらを大きく補える一貫性のある高いレベルのサービスやサポート、ユーザーエクスペリエンスの質が備わっていると、コミュニティのメンバーの多くが信じています。

Raccoonの人気は高く、機能セットに制限があっても広く導入されています。犯罪を直接犯す代わりにマルウェアの開発者が犯罪用プラットフォームの開発に向かっているなかでマルウェアのコモディティ化が進んでいる傾向を裏付ける事実となっています。

事例1：AZORULTの代替として早期にRACCOONを導入

この早期採用ユーザーは、初めて公開されたときからRaccoonを使い続けていると述べており、2018年末にAzorultが消滅して以降、Raccoonに落ち着くまで、市場にあるほぼすべてのスティーラーを試しています。

「初めて公開されたときから実際にRaccoonを使い続けている早期採用ユーザーの一人です。それ以前に、ほかの多くのスティーラーも使ってきました。実際のところ、この市場で提供されているスティーラーはすべて試しました。「azora」（Azorultマルウェア）が「消滅」してから長いあいだ、その完全な代替となるマルウェアを探していましたが、ついにRacoonに辿り着いたのです」

事例2：サービスの質の高さを評価

このユーザーはRaccoonの無償トライアルを利用してそれが優れた製品であると判断し、Raccoonへの切り替えに興味を示しました。具体的な事例としてこのユーザーは、パネルの検索エンジンにあったバグがすぐに修正された事実に言及しています。

「このスティーラーは数日間試すことができます。全体として第一印象は悪くありませんでした。感染の成功率も非常に高い数字を達成しています。コントロールパネルの検索エンジンに問題がありましたが、すぐに解決されました。現在のところ、IEには対応しておらず、ダウンロードできないログがありますが、近い将来にこれらのことも可能になると聞いています。Raccoonは非常に優れたスティーラーと言えるでしょう。現在使用しているスティーラーのリースが切れたらすぐにRaccoonに乗り換えるつもりです」

事例3：AZORULTの代替として相応しいスティーラーとのユーザーの評価

このユーザーはコントロールパネルが使いやすいとの理由で、AzorultからRaccoonへ乗り換えました。加えて、このユーザーは非常に高い率で攻撃に成功しており、Raccoonのサービスの質を非常に高く評価しています。

「azor（Azorult）からRaccoonへ乗り換えました。管理コントロールパネルの使い勝手の良さに大いに満足しています。vidar（Vidarマルウェア）のように必要のない細かい余計な情報が表示されることがありません。情報がコンパクトにまとまっています。このような配慮は大量のログを処理する場合に有用であり必須です。ビルドから判断するとすべてが完璧です。azorを利用していたときには、感染の成功率はいつも60%強といったところでしたが、現在は優れたクリプターを見つけており、成功率は90%になっています（中略）驚かされたのはそのサポートの品質です。VIP待遇の扱いを受けており、要求は何でも受け付けてもらえるうえに対応が丁寧であるなど、文句のつけようがありません。こんな体験は初めてです」

地下コミュニティのメンバーからの批判

当初より地下コミュニティの一部のメンバーはRaccoonを批判しており、具体的には、いくつかの機能の欠如やコーディングの不備、インフラストラクチャや管理パネルコードに存在する複数のセキュリティ上の問題を非難の対象にしています。

特に厳しい評価の1つはおそらく、Alexuiop1337によるものです。Alexuiop1337は非常に詳しい内容のブログ記事を執筆しており、そのなかでこのマルウェアとそのインフラストラクチャを分析して批判しています。Alexuiop1337によれば、Raccoonには、サーバーへのDDoS攻撃や機密データのダンプを許す複数の脆弱性が存在すると言います。

また、Alexuiop1337は自身のレビューのなかで、Raccoonの背後にいる開発者の一人の素性を暴こうとしており、地下コミュニティの別のメンバーであるglad0ff/wankfbiがその人物であると主張しています。

ユーザーやテスターからのRaccoonに対するその他の否定的な評価には、次のようなものがあります。

感染の成功率が約45%と低い。
いくつかのバグが原因で、コントロールパネルからログにアクセスしたりログを削除したりすることが簡単にできない。
データを窃取ためのモジュールに、一部のデータが消失する問題やバージョンの互換性の問題が存在する。

「このスティーラーでは、ソフトウェアやバージョンの問題が何かしら起こりました。これは見過ごせません。スティーラーからCookieを転送するのに失敗することが度々ありました。なぜそのようなことが起こるのか理由がわかりません。しかし、これまでのスティーラーでは、そういった問題が発生することはありませんでした」

RACCOONのチームを巡る公になっている複数の争い

地下コミュニティにおいてRaccoonのチームは、公に複数の争いを起こしています。この件では、チームの内情を垣間見る重要な視点が得られます。また、コモディティマルウェアの市場の競争がいかに熾烈であるかを広範な観点から認識できます。

加えて、これらの争いは、Raccoonの運用を担っているのが単一のユーザーではなく1つのチームであるとする我々の仮説が正しいものであることを裏付けています。また、チームのメンバーの関係がどのようなタイプのものであるかという点や、お互いのつながりが弱く日和見的な関係である可能性を物語っています。

チーム内部の不和が明らかにしたチームの内情

Raccoonのチームメンバーのあいだに緊張が生じていることを示す兆候が初めて公になったのは、4月にRaccoonの提供が始まった直後のことです。顧客データデータベースの情報が漏洩した後にチームは、サーバーがハッキングされた事実はないとの声明を発表しており、情報が漏洩したのは、データベースの情報を恐喝に使ってもっと金銭を得ようとしたある不満分子のメンバーが原因であると述べました。

自分の要求が満たされなかったメンバーは、データベースの情報を公開してチームを困らせようとしたのです。恐喝に携わったメンバーとRaccoonの競合相手とのあいだに直接のつながりはなかったとRaccoonのチームははっきりと述べています。しかし、この機会を利用しようと大げさにこの件を触れ回っているとしてAlexuiop1337とoverdotをチームは非難しています。

「前述のユーザーはイントラチームのテストAPI（ドック）にアクセスしています。すべてのリンクを所有しており、管理アカウントからパスワードを取得していました。これらがあれば、ユーザーのリストを作成でき、不運なペンテスターのアカウントを登録することが可能です。我々のミスは、そのようなチームの存在を確認した後にすぐに行動を取らなかったことです。誰も今回のような事態を想定していませんでした」

「この人物は、プロジェクトに対する個人的な恨みから必要な行動を起こすでしょう。Raccoonの提供を開始した日に問題の人物は我々に金を要求してきました。我々を脅迫したのです。しかしその後でも、まさか彼にこんなことができるとは考えてもいませんでした」

「@Alexuiop1337と@overdotがこの人物と直接やり取りをしている事実はありません。ただし、彼らは、この人物の代わりに今回の件を大げさに触れ回ろうとしています」

さらに、Raccoonのチームは、2019年6月に異例の投稿をしています。チームの前メンバーとのあいだに生じた内部の問題が明らかにされていたのです。投稿によれば、Participant 777（777@raccoon.biz）という人物がコミュニティの口座から900ドルを持ち逃げしているとのことでした。

「ご注意ください。当チームでは、ソフトウェアのレンタル以外のサービスは提供していません。Participant 777が共有の資金から900ドルを持ち逃げしています。また、Telegramアカウントの「@enot_support」からは詐欺的な動きが確認されています。
「expe」（ハッキング地下コミュニティにおいて「エクスプロイト」を表すロシア語のスラング）に関して、前述のアカウントはブラックリストに登録されています。当チームの連絡窓口は以下に示すものだけです。
Jabber：
support@raccoon.biz
randomuser@ucia.icu
green@raccoon.biz
Telegram：@ darkgr33n」

これら2つの事件から、Raccoonが複数のメンバーの共同作業で開発されていることがわかります。しかしチームの結束は必ずしも固いとは言えないようです。

RACCOON STEALERの概要

RACCOONはどのようにしてデリバリーされるのか

Raccoonをデリバリーする方法はいくつもありますが、よく用いられるのは、エクスプロイトキットやフィッシング攻撃、バンドル化されたマルウェアを通じた手法です。

エクスプロイトキットによるデリバリー

ユーザーが攻撃者のサイトを閲覧しているあいだに、エクスプロイトキットはユーザーのコンピューターに存在する脆弱性を突いて自動的に攻撃を仕掛けます。Webのブラウジングでユーザーが罠の仕掛けられたページを訪問すると、ユーザーはランディングページにリダイレクトされます。このページにはエクスプロイトコードが置かれており、多くの場合、ユーザーが何かに同意したり何らかのやり取りをしたりしなくても、コードが実行されるようになっています。

Raccoonをデリバリーするうえで攻撃者はFalloutエクスプロイトキットを利用します。このエクスプロイトキットはInternet ExplorerからPowerShellインスタンスを拡散し、その後にInfostealerのメインのペイロードをダウンロードします。

FalloutエクスプロイトキットがRaccoonをデリバリーする様子をCybereasonのプラットフォームで表示

フィッシングによるデリバリー

フィッシングはソーシャルエンジニアリング攻撃の1つです。この攻撃ではユーザーをだまして、悪意のあるコンテンツを実行させます。最もよく使われるのは、Officeドキュメントを添付したメールをユーザーに送りつける手口です。このドキュメントには不正なマクロコードが埋め込まれており、ドキュメントを開くとマクロが実行されます。

Raccoonをデリバリーするうえで攻撃者はWordドキュメントを添付したメールを悪用します。Wordドキュメントが開かれてマクロが有効になると同時に、マクロコードは攻撃者のドメインとのコネクションを確立してInfostealerのメインのペイロードをダウンロードします。

不正なWordドキュメントがRaccoon Stealerのペイロードをダウンロードする様子をCybereasonのプラットフォームで表示

バンドル化されたマルウェアによるデリバリー

バンドル化されたマルウェアとは、正規のソフトウェアをバンドルしたマルウェアです。このマルウェアは「闇の」Webサイトからダウンロードします。多くの場合、バンドル化されたマルウェアは、インストール中はユーザーから隠されているか、ソーシャルエンジニアリングの手法を用いてインストールされます。

Raccoonをデリバリーするうえで攻撃者は正規のソフトウェアをバンドルしたInfostealerのメインのペイロードを使用し、ユーザーに不審を抱かせずにインジェクションを行います。Raccoonは、ユーザーから見えないように陰で自身をインストールします。

RACCOONのコードとコードの機能について

攻撃者のコンピューターでのマルウェアのコンパイルで生成された内部パス

すでに述べたように、Raccoonのチームはロシア語圏の出身者で構成されているようです。Raccoonの内部パスで見つかったタイポからも、チームのメンバーが英語のネイティブスピーカーでないことがうかがい知れます。

Raccoonのチームが第三者の暗号化技術者に送ったアドバイス

Raccoonのメインのペイロードはパッキングされておらず、アンチデバッグの機能やアンチ仮想マシン保護の機能は組み込まれていません。アナリストの分析や検知の処理を逃れるための保護はなんらされておらず、そのままのかたちで売りに出されているのです。ただし、Raccoonのチームは、アンチウイルス製品や検知機能、分析機能に対処するうえでGreenCryptをコールするよう、第三者の暗号化技術者にアドバイスしています。

コマンドアンドコントロールサーバーとの通信

標的のコンピューターでローダーが実行されると、このローダーは自身をメモリにアンパックし、コマンドアンドコントロールサーバーと接続します。Raccoonは、Base64でエンコードされたパラメータ、bot_idとconfig_idを持つPOSTリクエストを送信します。

2つのパラメータを持つPOSTリクエストをRaccoonが送信する様子

コネクションの確立とRaccoonのBot IDの認証が正常に完了すると、Raccoonは複数の異なるDLLを持つ圧縮されたzipファイルをダウンロードします。これらのDLL自体は必ずしも悪意のあるものではありませんが、標的のコンピューターからデータを収集して盗み出すうえで、RaccoonにはこれらのDLLが不可欠な存在となっています。

標的にしたコンピューターのローカル設定の収集

標的のコンピューターのローカル設定をチェックするRaccoon Stealer のコード

一方でRaccoon Stealerは標的のコンピューターのローカル設定をチェックし、その言語設定を、ロシア語、ウクライナ語、ベラルーシ語、カザフ語、キルギス語、アルメニア語、タジク語、ウズベク語などの言語が記載されている言語リストと比較します。標的とするコンピューターのローカル設定の言語設定がリスト内のいずれかの言語と一致した場合、マルウェアはすぐにアボートします。これは、CIS国で開発されたマルウェアに共通する挙動です。

機密情報の収集

標的が初めてRaccoon Stealerに感染した後に、Raccoon Stealerはいくつかの手法を使って機密情報を収集します。そして見つけ出した情報をTempフォルダに保存します。

標的のコンピューターのスクリーンショットのキャプチャ

標的のコンピューターの画面をキャプチャするRaccoon Stealerのコード

また、RaccoonはGetDesktopWindowやCreateCompatibleBitmapを使用して標的のコンピューターの画面をキャプチャし、screen.jpegの名前でTempフォルダに保存します。

システム情報の窃取

Raccoonは、ユーザー名やIPアドレス、言語設定、OSのバージョン、インストールされているアプリの情報、CPUおよびメモリの情報などシステム情報を、標的のコンピューターから収集します。この情報は、
C:\Users\[user]\AppData\Local\Temp\machineinfo.txtのテキストファイルに格納されます。

Raccoon Stealerが収集した情報

ブラウザ内の情報の窃取

ブラウザから窃取した大量のデータはローカルマシンのSQLiteデータベースファイルに保存されます。ユーザーが自身のユーザー名やパスワードをブラウザに保存すると、ブラウザはそのデータをLogin Data SQLiteデータベースファイルに格納します。また、ブラウザは、Cookie情報をCookieファイルに保存し、クレジットカードの情報などの自動入力データをWeb Dataファイルに格納します。

Raccoonは30を超える種類のブラウザからこれらの情報を窃取することが可能です。レジストリのソフトウェアHiveを探ってインストールされているブラウザを確認し、認証情報やCookie、自動入力データをブラウザから盗み出します。

RACCOON STEALERが標的にするブラウザ

Chrome、Amigo、RockMelt、Sputnik、Chromium、Orbitum、360Browser、Kometa、Xpom、Bromium、Vivaldi、uCozMedia、Comodo、Nichrome、Opera、QIP Surf、Epic Privacy Browser、CocCoc、Suhba、Chedot、CentBrowser、Elements Browser、Safer Technologies – Secure Browser、Superbird、7Star、TorBro Rafotech – Mustang、Torch、Firefox、WaterFox、SeaMonkey、Pale Moon、GO!

ブラウザの情報を窃取する、Raccoonの構成コードの例

Raccoonは標的のブラウザのデータファイルをランダムな名前でTempフォルダにコピーします。ファイルの解析や機密データの抽出には、コマンドアンドコントロールサーバーからダウンロードしたSQLite3.dllというDLLを使用します。盗み出した情報は複数のテキストファイルに分割します。ファイルには個々のブラウザにちなんだ名前が付けられ、Temp/browsersに保存されます。

Raccoonはまた、passwords.txtという名前のマスターファイルを1つ生成します。このファイルには、標的のコンピューターから盗み出したすべてのパスワードが保存されます。

Raccoonが盗み出したパスワードが保存されるpasswords.txtのフォーマットの例

OUTLOOKのアカウントの窃取

Microsoft Outlookのアカウント情報を抽出するRaccoonのコード

Raccoonは標的のコンピューターのレジストリキーからMicrosoft Outlookのアカウント情報を抽出します。

HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

さらにRaccoonはメールクライアントに保管されているユーザー名やパスワードなどの機密情報を探し出すためにWindowsレジストリを探り、収集した情報をテキストファイルに書き込んで、Temp/mailsに保存します。

標的のコンピューター上にあるメールクライアントのアカウント情報を収集するRaccoon

暗号通貨のウォレットの窃取

Raccoonはコンピューター上にある複数の暗号通貨のウォレットを狙ってその探索を行います。具体的には以下のような場所にあるウォレットが対象になります。

C:\Users\\AppData\Roaming\Electrum\wallets
C:\Users\\AppData\Roaming\Jaxx\Local Storage
C:\Users\\AppData\Roaming\Exodus\exodus.wallet
C:\Users\\AppData\Roaming\Ethereum Wallet

暗号通貨のウォレットが見つかった場合、そのウォレットはTempに保存されます。

盗み出したデータすべてを対象に特定のログが存在しないか探すようなことをしなくても、すべての暗号通貨のウォレットが自動的に処理されるサービスが、攻撃者の手間を減らす仕組みとしてRaccoonには用意されています。

今後提供されると見られる機能

Raccoonの現行のバージョンには、キーロギングの機能がありません。地下コミュニティのユーザーの一部はこの機能を求めており、Raccoonのチームは、将来この機能が利用できるようになる可能性をほのめかしています。

地下コミュニティのRaccoonのチームがキーロギング機能のサポートを検討していることを示すスクリーンショット

データの窃取と自己削除

Raccoonは盗み出したデータをすべてgate.zipというzipファイルに保存し、このファイルをコマンドアンドコントロールサーバーに送ります。

標的のコンピューターからRaccoonが盗み出したすべてのデータ

すべての機密データの持ち出しに成功するとRaccoonは、そのバイナリを標的のコンピューターから削除します。この様子を以下のスクリーンショットに示します。ここではRaccoonはspawning cmd.exeとping.exeを起動し、削除コマンドを実行しています。

コンピューター上に残った侵害の痕跡を削除する目的でRaccoonが生成した悪意のあるプロセス

RACCOONが企業や個人に与える影響

地下コミュニティで販売されているログから見積もると、Raccoonは数か月で世界全体の100,000を超えるエンドポイントに感染しているものと見られます。Raccoonは、技術力の有無にかかわらずどの個人ユーザーも簡単に操作できる点が大きな魅力になっています。さらに、Raccoonの背後にいるチームは、絶えずRaccoonの改良に努めており、即応性の高いサービスを提供しています。Raccoonでは、大掛かりな投資や技術面の深い経験を必要とせずに個人が機密情報の窃取を通じて手軽で簡単に金銭を稼ぐことができるとされています。

Raccoonはクレジットカードの情報や暗号通貨のウォレット、ユーザー名およびパスワード、Webの閲覧履歴などの広範な種類の情報を収集し、これらを悪用して、企業の社内情報、金銭、その他の機密情報を窃取します。盗み出したデータは恐喝に使われたり、金銭に換える目的で地下コミュニティに売りに出されたりします。

サイバーリーズンのRACCOONとの戦い

異常な振舞いを検知および調査する機能に加え、サイバーリーズンのNGAVテクノロジーでは、Raccoonの感染を検知することやRaccoonの感染を防ぐことが可能です。

VirusTotalのスクリーンショット。サイバーリーズンのNGAVがRaccoonの実行ファイルを悪意のあるファイルとして検知していることが確認できる

Cybereasonプラットフォームが悪意のある実行ファイルの起動を阻止する様子

まとめ

Raccoon Stealerは市場において最も革新的なInfostealerではないかもしれません。しかしそれでも依然として、地下コミュニティでその勢力を大きく拡大しています。地下コミュニティの評判から判断すると、Raccoonのチームは信頼性の高いカスタマーサービスを提供しており、これにより、個人的に大掛かりな投資をしなくても手軽で簡単にサイバー犯罪に手を染められる環境を実現しています。

しかし、これまで問題がなにもなかったわけではありません。地下フォーラムで公に複数の争いを起こしており、競合相手からもいくつかの批判を浴びています。それでもRaccoonの名前はすぐに、地下コミュニティにおいて評判のマルウェア上位10にランクインしています。2019年初めにサービスが開始されたマルウェアであるというのにです。全体としてRaccoonを取り巻く意見は好意的なものがほとんどです。現在では消滅したAzorultの代替として最も適したInfostealerであるとの声も聞かれます。

Raccoonの人気は高く、機能セットに制限があっても広く導入されています。犯罪を直接犯す代わりにマルウェアの開発者が犯罪用プラットフォームの開発に向かっているなかでマルウェアのコモディティ化が進んでいる傾向を裏付ける事実となっています。MaaSの開発を選択したマルウェアの開発者は、マーケティングや好意的なレビューの活用、即応性の高いカスタマーサポートの提供、製品の定期的な機能向上といったような、正規のSaaSビジネスにおけるのと同じ活動を多くせねばなりません。この傾向は2020年まで続き、MaaSの進化が進むのは間違いないと、サイバーリーズンでは予想しています。

セキュリティ侵害の痕跡

Raccoon Stealerのセキュリティ侵害の痕跡はこちらでご確認いただけます。

MITRE（マイター）社のATT&CKに基づくテクニックの分類

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

一覧に戻る