SvcStealer 2025は、スピアフィッシングメールの添付ファイルを通じて拡散する新しい種類の情報窃取型マルウェアです。2025年XNUMX月末に、SvcStealerマルウェアによるキャンペーン活動が確認されました。 マルウェア 作成者は、マシンデータ、インストールされたソフトウェア、ユーザー資格情報、ターゲットの暗号通貨ウォレット、メッセージングアプリケーション、ブラウザデータなどの機密データを収集します。収集したデータを TA C2 パネルに送信し、C2 サーバーから別のマルウェア ファミリをダウンロードする可能性があります。
SvcStealer マルウェアの脅威アクターは、収集した詳細をアンダーグラウンド フォーラムや犯罪市場で販売する可能性があります。
テクニカル分析:
Seqriteは、脅威ハンティング中にSvcStealerマルウェアが実際に活動していることを確認しました。このマルウェアはMicrosoft Visual C++プログラミング言語で記述されています。まず、このマルウェアは被害者のホストルートディレクトリのボリュームシリアル番号を取得し、図11に示すように、取得したボリュームシリアル番号に対して算術演算を行うことで、1バイトの英数字値を生成します。
その後、マルウェアは「C:\ProgramData」に11バイトの英数字からなる名前のフォルダが既に存在するかどうかを確認します。存在しない場合はフォルダを作成し、被害者のシステムで同じマルウェアインスタンスが実行されないように動作を終了します。これはミューテックスの作成に似ています。
このフォルダを作成すると、マルウェアはシステム管理者やセキュリティアナリストによる監視を回避するために、システム上で実行されている以下のプロセスを終了します。
プロセス名: Taskmgr.exe、ProcessHacker.exe、procexp.exe、procexp64.exe
その後、収穫するのは cryptocurrency 被害者のホストマシンからウォレットデータを抽出し、詳細を「財布"フォルダ。
同様に、標的のメッセージング ソフトウェア、FTP クライアント、ブラウザー [パスワード、クレジットカードの詳細、履歴など]、システム情報 [System_info.txt]、ユーザー資格情報、インストールされているアプリケーションの詳細 [Software_Info.txt]、被害者のホストで実行されているプロセス [Windows_Info.txt] と PID などのデータを収集し、被害者のホストでスクリーンショット [Screenshot.jpg] や標的のファイル [拡張子] をキャプチャし、抽出した詳細を図 2 に示すフォルダーに保存します。
対象となるメッセンジャーのリスト: 64グラム、ディスコード、テレグラム、トックス
対象となるブラウザのリスト: Microsoft Edge、Brave、Chromium、Google Chrome、Chrome Canary、Opera、Opera GX、Opera Crypto、Vivaldi、Yandex、Comodo、UC Browser。
対象となるファイル拡張子のリスト: .jpg、.pdf、.docx、.csv、.sql、.cpp、.h、.dat、.wallet、.pkey
被害者のホストからすべての情報を収集すると、図64に示すように、「C:\ProgramData\6547A12CE1013156883C7」フォルダをZipファイルとして圧縮します。
その後、ポート番号2でC80サーバへの接続を確立しようとします。C2サーバへの接続が確立されると、TAは収集した詳細情報をPOSTリクエストにアップロードし、被害者のマシンをC2パネルに登録します。C2サーバセッションがまだ確立されていない場合は、5秒間(スリープ方式)待機し、セッションが確立されるまでC2サーバへのビーコンを送信し続けます。
収集した詳細をC2サーバーに送信すると、セキュリティアナリストやセキュリティツールによる追跡を回避するために、圧縮されたzipファイルと「C:\ProgramData\64A6547CE12C1013156883」に保存されたマルウェアファイルを削除して痕跡を消去します。
図2に示すように、ボリュームシリアル番号からフォルダを作成してUIDを生成します(TAはこのUIDを被害者マシンのスクリーンショットキャプチャのコマンドとして使用します)。その後、2秒間のスリープ時間を経てセッションが成功するまで、C5パネルにマルウェアビーコンを送信します。最初のC2ドメインにアクセスできない場合に備えて、代替IPアドレスとして2つのCXNUMX IPアドレスが存在します。
C2 サーバーへの接続が正常に確立されると、スクリーンショットが撮影され、「場所 C:\Users\username\AppData\Roaming」に Screenshot.jpg ファイルとして保存され、そのキャプチャされたスクリーンショットが POST リクエストを通じて C2 パネルに送信されます。
UIDと同様に、このマルウェアはC2パネルにtsk[タスクコマンド]を送信します。C2サーバからの応答を受信すると、C2サーバからの応答に記載されているタスクマネージャのURLからファイルをダウンロードし、ダウンロードしたファイルを次のようにコピーします。 一時_[現在のシステム時刻に基づく4桁の数字].exeファイル C:\Users\username\AppData\Local\Temp\ または C:\Users\username\AppData\Roaming(C2サーバーからの応答にも記載)のいずれかにダウンロードし、ShellExecuteW 経由でダウンロードしたファイルを実行します。分析時点では、悪意のあるC2ドメインにアクセスできませんでした。別のマルウェアをダウンロードする可能性もあります。
IOCS:
0535262fe0f5413494a58aca9ce939b2
ee0fd4d6a722a848f31c55beaf0d0385
05ef958a79150795d43e84277c455f5d
4868a5a4c8e0ab56fa3be8469dd4bc75
/svcstealer/get[.]php
185 [。] 81 [。] 68 [。] 156
176 [。] 113 [。] 115 [。] 149
検出:
TrojanSpy.SvcStealer.S35070558、TjnSpy.SvcStealer.S35070557
ヤラルール:
インポート「pe」
ルールSvcStealer
{
文字列:
$svc1={88 44 24 5A 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5B 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5C 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5D}
$svc2={2f737663737465616c65722f6765742e706870}
$svc3=”SvcStealer” ワイドASCII
$svc4={53 63 72 65 65 6E 73 68 6F 74 2E 6A 70 67}
調子:
それらのすべて
}
MITRE攻撃のTTP:
| 戦略 | テクニック/手順 |
| 初期アクセス | T1566.001:フィッシング:スピアフィッシング添付ファイル |
| 防衛回避 | T1070.004:インジケーターの削除:ファイルの削除 |
| クレデンシャルアクセス | T1056.001:入力キャプチャ:キーロギング |
| T1552.001:保護されていない資格情報:ファイル内の資格情報 | |
| プーケットの魅力 | T1012:クエリレジストリ |
| T1518:ソフトウェアディスカバリー | |
| T1057:プロセスディスカバリー | |
| T1082:システム情報の発見 | |
| T1083:ファイルとディレクトリの検出 | |
| 収集 | T1560:収集したデータのアーカイブ |
| T1056.001:入力キャプチャ:キーロギング | |
| T1113:スクリーンキャプチャ | |
| コマンドおよび制御 | T1071:アプリケーション層プロトコル |
まとめ:
脅威アクターはこのマルウェアを スピアフィッシング 悪意のあるドキュメントやExcel、実行バイナリが添付されているメールは開かないように注意が必要です。SvcStealerマルウェアの開発者は、初期アクセスブローカー(IAB)として機能する可能性があります。このマルウェアは、マルウェアが作成したファイルやフォルダの痕跡を削除し、プロセスを強制終了することで、回避策を実装しています。また、ボットネットなどの追加ペイロードをダウンロードする可能性もあります。[ボリュームシリアル番号から]フォルダ名を生成することで、被害者のマシンで1つのインスタンスのみが実行されるようにします。
