1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. DiscordのAPIをサイバー攻撃に悪用し、マルウェアを拡散する活動が確認される

DiscordのAPIをサイバー攻撃に悪用し、マルウェアを拡散する活動が確認される

セキュリティニュース

投稿日時: 更新日時:

DiscordのAPIをサイバー攻撃に悪用し、マルウェアを拡散する活動が確認される

セキュリティツールを開発するCYFIRMAは分析レポートでDiscordのAPIをサイバー攻撃に悪用し、トロイの木馬(RAT)を拡散する活動が確認された事を発表しました。

サイバー攻撃の概要

このRATは、任意コマンドの実行、Chromeの保存パスワードの窃取、スクリーンショットの取得、さらにはDiscordサーバーそのものの操作まで可能とする、非常に多機能かつ悪質なマルウェア(トロイの木馬)です。

特に、個人・組織を問わず広く使われているDiscordのAPIを正規通信として利用しており、ネットワーク監視やアンチウイルスでは検知が困難な点が大きな特徴です。

攻撃の主な特徴と動作

ボット初期化とDiscordサーバーへの接続

Discord APIの「Bot Token」がスクリプト内にハードコードされており、情報漏洩や再悪用のリスクが非常に高い構成になっています。さらに、discord.ui.View を活用することで、遠隔操作のためのインターフェースを用意し、攻撃者が任意に操作できる状態を実現しています。加えて、全メッセージを読み取るintentが有効化されており、チャット内容の監視が可能になっています。

Google Chrome保存パスワードの窃取

このRATはChromeの「Login Data」ファイルへアクセスし、保存されているID・パスワードを抽出し、Discordを通じて攻撃者へと転送します。Chromeがインストールされていない場合などには、エラーメッセージも送信される仕組みです。

任意のシステムコマンド実行

スクリプトは任意コマンドの実行を許可しており、例えばcdコマンドを使ったディレクトリ移動なども含まれます。結果はDiscordを介して返却され、完全なシステム制御が攻撃者に委ねられます。

スクリーンショット取得

mssライブラリを用いて、感染端末の画面を随時キャプチャし、PNG形式でDiscordへ送信することで、攻撃者は視覚的に被害者の操作状況を把握できます。

永続化と再接続処理

Botは切断されても自動的に再接続を試みる仕組みが組み込まれており、半永久的に稼働し続けます。また、チャンネルが削除されても、ユーザー名やコンピュータ名を基に新たなチャンネルを自動作成し、制御パネルも再展開されます。

Discordサーバー自体の操作

Botはサーバー上のチャンネル削除・再作成といった操作を実行でき、必要に応じてレジストリの改変による自動起動設定の永続化なども可能です。

Discordを悪用したマルウェアにどう備えるか

エンドポイントの保護

エンドポイントの保護には、EDR(Endpoint Detection and Response)製品を導入し、Discordを介したマルウェア活動を検知できるようにシグネチャやルールを適切に設定する必要があります。また、Discord通信やAPI利用状況をプロキシやファイアウォール経由で可視化・制御する体制を整えるべきです。

ネットワーク通信の監視

ネットワーク通信の監視としては、DiscordのAPIアクセスログに注目し、異常なPOSTやGETリクエスト、長時間接続や定期的な通信パターンなど、Bot通信と疑われる挙動をSIEM等で検知対象に設定することが重要です。

セキュリティ教育

利用者への啓発も欠かせません。非公式なBotや出所不明なスクリプトを業務端末上で実行することのリスクを広く周知し、特に開発職や技術職の社員に対しては業務端末での試験運用を控えるよう明確な指導が求められます。

利用制限やポリシーによる規制

さらに、組織内でのDiscordの利用を見直すことも有効です。業務用途での利用が必要な場合は、ネットワーク分離された検証環境に限定し、必要最小限のBot機能に対してのみトークン単位で権限設定を行うといった制限が推奨されます。

多要素認証

パスワードの管理に関しては、ブラウザへの保存を無効化するか、企業としてパスワードマネージャーの利用を推奨する体制を整えるとともに、MFA(多要素認証)を全社的に導入することで、万が一の漏洩時にも被害を最小限に抑えられます。

 

一部参照

ANALYSIS OF A DISCORD-BASED REMOTE ACCESS TROJAN (RAT)

関連記事

悪意のあるPyPi パッケージがDiscord 開発者を標的にする悪意のあるPyPi パッケージがDiscord 開発者を標的にする Linuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーで制御するLinuxのマルウェア「DISGOMOJI」はDiscordの絵文字でC2サーバーを制御する EDR製品比較9選 製品タイプや導入時の注意点も解説EDR 製品 比較 9選 製品タイプや導入時の注意点も解説 Discordで40億以上のチャットと6億のユーザーを収集、追跡していると主張する「Spy.pet 」Discordで40億以上のチャットと6億のユーザーを収集、追跡していると主張する「Spy.pet」とは Discordで53億以上のチャットと4億のユーザーを収集、追跡していると主張する「Spy.pet」が復活Discordで53億以上のチャットと4億のユーザーを収集、追跡していると主張する「Spy.pet」が復活 Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 EDRSilencerがエンドポイントセキュリティを回避する手段に悪用EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 NET MAUI を使用して検出を回避する新しいAndroidマルウェアキャンペーンが確認されるNET MAUI を使用して検出を回避する新しいAndroidマルウェアキャンペーンが確認される EDR製品の導入検討中の方必見。選び方から導入要件まで解説 製品比較表付きEDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き