サイバーニュース.jp

世界のサイバーなニュースを配信

アルゼンチン連邦裁判所の判決を悪用するスピアフィッシングキャンペーン、隠蔽されたRATを配信

カテゴリ:

概要

Seqrite Labsは、アルゼンチンの司法部門を標的とした高度なスピアフィッシングキャンペーンを発見しました。このキャンペーンは、ステルス性の高いRustベースのリモートアクセス型トロイの木馬 (RAT) を配備するために設計された多段階感染チェーンを利用しています。攻撃者は、正当なアルゼンチン連邦裁判所の判決書、特に予防拘禁審査文書を悪用し、信頼性を確立してマルウェアの配信を容易にしています。

攻撃の初期段階

初期感染ベクトルは、標的型スピアフィッシングメールを利用しており、これには武器化されたZIPアーカイブが含まれています。このアーカイブは以下の3つのコンポーネントで構成されています。

  • 悪意のあるLNKファイル (info/juicio-grunt-posting.pdf.lnk)
  • BATベースのローダースクリプト (info/health-check.bat)
  • 正規に見える司法PDFデコイ (info/notas.pdf)

この作戦は「Operation Covert Access」と名付けられており、高度なソーシャルエンジニアリング戦術と堅牢なアンチ解析メカニズムを組み合わせて、南米の司法機関や法律組織内で永続的なアクセスを獲得しようとしています。

感染チェーンの詳細

ユーザーがLNKファイルとやり取りすると、被害者にはデコイ文書が表示される一方で、サイレントに実行チェーンが開始され、ペイロードが展開されます。

  • ステージ1: LNKファイルは、システムディレクトリからPowerShellをポリシーバイパスおよび隠しウィンドウモードで実行します。ショートカットはPDFアイコンで偽装されており、正規の文書に見せかけています。
  • ステージ2: BATローダーはGitHubでホストされているリポジトリに接続し、第2段階のペイロードを取得します。PowerShellコマンドは偽装されたUser-Agent文字列を使用し、ダウンロードした実行ファイル (health-check.exe) を、正規に見せるためにMicrosoft Edgeユーザーデータディレクトリ内にmsedge_proxy.exeとして保存します。
  • ステージ3: msedge_proxy.exeは主要なRATコンポーネントであり、VM検出 (VMware, VirtualBox, Hyper-V, QEMU, Xen, Parallels)、サンドボックス環境検出、PEBチェックおよびタイミングベースの解析によるデバッガー識別など、広範なアンチ解析チェックを実行します。

RATの機能と持続性

このRATは、ホスト名、ユーザー名、OS名、権限レベルを含むシステム情報を収集し、IPv4とIPv6の両方をサポートするフォールバックメカニズムを使用してC2通信を確立します。デフォルトでは181.231.253.69:4444に接続します。

このマルウェアは包括的なコマンドセットを広告しており、以下の機能を含んでいます。

  • PERSIST: 持続性のインストール
  • DOWNLOAD および UPLOAD: ファイル操作
  • HARVEST: 資格情報の窃取
  • ENCRYPT および DECRYPT: ランサムウェア機能
  • ELEVATE: 特権昇格

すべてのコマンドはBase64エンコードされており、RATはDLLベースのランサムウェア、情報窃取モジュール、完全な持続性ライフサイクル管理を含むモジュラーなポストエクスプロイト機能をサポートしています。また、レジストリのRunキー(例: SecurityHealthSystray, MicrosoftEdgeAutoLaunch, Teams Machine Installer)やschtasksを介したスケジュールタスクを使用して、複数の持続性技術を実装しています。PERSIST_REMOVEコマンドを使用することで、オペレーターのコマンドに応じてすべてのレジストリエントリとスケジュールタスクを削除し、完全なクリーンアップが可能です。

組織への推奨事項

「Operation Covert Access」は、信頼性の高い機関環境を標的としたソーシャルエンジニアリング型の侵入チェーンが依然として効果的であることを示しています。組織は以下の対策を講じるべきです。

  • 偽装された法的文書に対するメールフィルタリングを強化する。
  • メールソースからのLNKファイル実行を無効にする。
  • PowerShell実行ポリシーを適用する。
  • 疑わしいプロセスチェーンとC2通信パターンを特定できるエンドポイント検出および対応ソリューションを導入する。

侵害の痕跡 (IoCs)

このキャンペーンに関連する主な侵害の痕跡は以下の通りです。

  • ファイルハッシュ (LNK): dc802b8c117a48520a01c98c6c9587b5 (info/juicio-grunt-posting.pdf.lnk)
  • ファイルハッシュ (ZIP): 45f2a677b3bf994a8f771e611bb29f4f (D:\auto_black_abuse\resources\unzipped\20251215_140518_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip)
  • ファイルハッシュ (BAT): 02f85c386f67fac09629ebe5684f7fa0 (info/health-check.bat)
  • ファイルハッシュ (RAT実行ファイル): 976b6fce10456f0be6409ff724d7933b (\msedge_proxy.exe)
  • ファイルハッシュ (PDFデコイ): 233a9dbcfe4ae348c0c7f4c2defd1ea5 (info/notas.pdf)
  • C2サーバー: 181.231.253.69:4444

元記事: https://gbhackers.com/spear-phishing-campaign-2/

投稿をさらに読み込む