多くのマルウェア開発者がCやC＋＋からGoに移行しWindows、macOS、Linuxを標的に

Goで書かれたマルウェアが増加傾向--APTと犯罪グループの両方が利用

2021/03/02　

Goで書かれたマルウェアが増加傾向--APTと犯罪グループの両方が利用プログラミング言語「Go」でコーディングされたマルウェアファミリーの数が急増しており、2017年以降に約2000％も増加していることが調査で明らかになった。

japan.zdnet.com

　サイバーセキュリティ企業のIntezerが先ごろ発表したレポートによれば、プログラミング言語「Go」でコーディングされたマルウェアファミリーの数が急増しており、2017年以降の数年間で約2000％も増加しているという。

　Goで書かれた最初のマルウェアが発見されたのは2012年のことだが、マルウェアの世界にGoが広がるにはそれから数年かかった。

　しかしGoはその状況を突破し、今では広く採用されるようになった。Goは、国家のハッキンググループ（APTとも呼ばれる）やサイバー犯罪グループに使われているほか、セキュリティチームが侵入テスト用のツールキットを作成するためにも使用されている。

　Goの人気が急上昇した理由は3つある。第1の理由は、クロスプラットフォームで容易にコンパイルできることだ。そのため、マルウェア開発者が一度コードを書けば、同じコードベースで複数のプラットフォームのバイナリーをコンパイルすることができる。同じコードベースでWindows、macOS、Linuxを標的にできる汎用性は、他のプログラミング言語にはない特徴だ。

　第2の理由は、現時点ではまだセキュリティ研究者がGoベースのバイナリーの分析やリバースエンジニアリングを行うのが難しいことだ。今のところ、Goベースのマルウェアの検出率は非常に低い。

　そして3つ目の理由は、ネットワークのパケットやリクエストの処理を扱うのが容易なことだ。マルウェアは通常、ネットワークパケットの改ざん、組み立て、送受信などの処理を頻繁に行うが、Goはマルウェア開発者が必要とするツールをあらゆるツールを提供している。多くのマルウェア開発者がCやC＋＋からGoに移行するのも理解できる。これらの3つの理由から、Goで書かれたマルウェアの数は、2020年に大幅に増加した。

　Intezerは「これらのマルウェア（ファミリー）の多くは、LinuxやIoTデバイスを標的として、暗号通貨マイナーをインストールするか感染したマシンをDDoSのためのボットネットに組み込もうとするボットネットだ。また、ランサムウェアもGoで書かれるようになっており、その数は増えているように見える」と述べている。

　以下では、2020年に登場した影響が大きかったGoベースのマルウェアの例をカテゴリー別に挙げる。

国家が運営するAPTのマルウェア

サイバー犯罪グループのマルウェア

Goで書かれた新しいランサムウェアファミリー

Win、Mac、Linuxで動く仮想通貨窃取マルウェア「ElectroRAT」1年間発見されず数千人に感染

Goで書かれています

2021/01/06　

Win、Mac、Linuxで動く仮想通貨窃取マルウェア「ElectroRAT」1年間発見されず数千人に感染 - Engadget 日本版過去1年にわたって密かに感染を拡げ、数千人の暗号通貨保有者からウォレットのアドレスを収集していたマルウェアが発見されました

japanese.engadget.com

ビットコインは2021年の年明けから急激に価格を高騰させています。4日には一時急落したものの、翌日には再び上昇に転じ、記事執筆時点では再び350万円/BTCに手をかけようとしています。そんななか、過去1年にわたって密かに感染を拡げ、数千人の暗号通貨保有者からウォレットのアドレスを収集していたマルウェアが発見されました。

ElectroRATと呼ばれるそのマルウェアは、Windows、macOS、さらにLinux向けに作られており「Jamm」や「eTrade」といった暗号通貨取引用アプリ、または暗号通貨を賭けて遊ぶ「DaoPoker」といったゲームソフトをトロイの木馬化して配布されます。ハッカーは、bitcointalkやSteemCoinPanといった暗号通貨フォーラムサイトで偽のプロモーションを宣伝し、TwitterおよびTelegramでそれを拡散させたと報告されています。

2020年1～12月に数千人がダウンロードしたはずのこれらのマルウェアが、ユーザーのコンピューターで活動を始めると、キー入力を記録したりスクリーンショットを取得、ファイルの送受信やソフトウェアのインストールなどを行えるよう、遠隔操作可能な状態にします。

プログラミング言語Goを使ってゼロから起こされたElectroRATは、Execmacと称するユーザーがテキストデータ公開サービスPastebinを利用して公開したデータをもとにC&Cサーバーを検索し、感染したコンピューターとのやりとりを行っていました。悪用されたPastebinページのひとつには、年間およそ6500回のアクセスがありました。

情報セキュリティ企業Intezerは、報告時点ではトロイの木馬化されたソフトウェアとElectroRATのコードはウェブサイトのマルウェア感染検査を行うVirusTotalで検出されないと述べています。また、もし3つのうちいずれかのトロイの木馬化されたソフトを手持ちの環境にダウンロードし起動したことがある場合は、すぐにそれらのプロセスを強制終了し、関連するすべてのファイルをシステムから削除、さらに念のため、暗号通貨ウォレットにある資産はすべて別のウォレットに移動し、あらゆるパスワードを変更する必要があるとしました。

ビットコインやその他の暗号通貨高騰に喜んでいたら、いつのまにか残高がなくなっていた…ということは滅多にないとは思われますが、そこに価値ある物があるとわかっていれば狙いに来る輩がいるのは、コンピューターの世界でも現実の世界でもおなじようなもの。定期的にセキュリティ環境をよく見直してトラブルに巻き込まれないよう気をつけたいものです。