サイバーニュース.jp

世界のサイバーなニュースを配信

Amnesia RATとランサムウェアを用いたロシアを標的とする多段階フィッシングキャンペーンが発覚

カテゴリ:

キャンペーン概要

最近、ロシアのユーザーを標的とした新たな多段階フィッシングキャンペーンが観測されています。このキャンペーンでは、Amnesia RAT(Remote Access Trojan)とランサムウェアが悪用されています。

攻撃の特徴と手法

Fortinet FortiGuard Labsの研究者Cara Lin氏によると、この攻撃は、一見すると日常的なビジネス関連文書を装ったソーシャルエンジニアリングの手法から始まります。これらの文書と付随するスクリプトは、ユーザーの注意を偽のタスクやステータスメッセージにそらす一方で、悪意のある活動がバックグラウンドで静かに実行されるよう設計されています。このキャンペーンの特筆すべき点は以下の通りです。

  • ペイロードの分散配布: スクリプトの配布にはGitHub、バイナリペイロードの格納にはDropboxといった複数のパブリッククラウドサービスが利用されており、テイクダウンを困難にし、攻撃のレジリエンス(回復力)を高めています。
  • Microsoft Defenderの無効化: セキュリティ研究者es3n1nが公開した「defendnot」ツールを悪用し、Microsoft Defenderを無効化しています。このツールは、別のアンチウイルス製品がインストールされているとDefenderに誤認させることで、自己無効化を促します。

初期侵入から足がかりの確立

キャンペーンは、ソーシャルエンジニアリングによって圧縮アーカイブを配布します。これには、複数のデコイ文書とロシア語のファイル名を持つ悪意のあるWindowsショートカット(LNK)ファイルが含まれています。LNKファイルは「Задание_для_бухгалтера_02отдела.txt.lnk」のように二重拡張子を使用し、テキストファイルであるかのように偽装します。実行されると、LNKファイルはGitHubリポジトリ(「github[.]com/Mafin111/MafinREP111」)にホストされている次段階のPowerShellスクリプトを取得し、これが最初のローダーとして機能します。このスクリプトは、足がかりを確立し、悪意のある活動の証拠を隠蔽するためのシステム準備を行い、後続の段階へと制御を渡します。

Fortinetによると、スクリプトは最初にPowerShellコンソールウィンドウをプログラム的に非表示にすることで、可視実行を抑制します。これにより、スクリプトが実行されていることを示す視覚的な兆候が即座に消去されます。次に、ユーザーのローカルアプリケーションデータディレクトリにデコイのテキスト文書を生成し、ディスクに書き込まれると自動的に開かれます。文書が表示されることでユーザーを欺き続ける間、スクリプトはTelegram Bot APIを使用して攻撃者にメッセージを送信し、最初の段階が正常に実行されたことを通知します。

意図的に導入された444秒の遅延の後、PowerShellスクリプトは同じリポジトリの場所にホストされているVisual Basic Script(「SCRRC4ryuk.vbe」)を実行します。これにより、ローダーを軽量に保ち、攻撃チェーン自体に変更を加えることなく、ペイロードの機能をその場で更新または置換できるという2つの重要な利点が得られます。

防御回避とシステム制圧

Visual Basic Scriptは高度に難読化されており、次段階のペイロードを直接メモリ内で組み立てるコントローラーとして機能し、ディスク上にアーティファクトを残すことを回避します。最終段階のスクリプトは、昇格された権限で実行されているかを確認し、そうでない場合は、ユーザーアカウント制御(UAC)プロンプトを繰り返し表示して、被害者に必要な権限を強制的に付与させます。スクリプトは試行の間に3,000ミリ秒一時停止します。

次のフェーズでは、マルウェアは以下の行動を開始します。

  • 可視性の抑制とエンドポイント保護の無効化: Microsoft Defenderのスキャン対象からProgramData、Program Files、Desktop、Downloads、システムの一時ディレクトリを除外する設定を行います。さらに、PowerShellを使用して追加のDefender保護コンポーネントを無効化し、前述の「defendnot」を導入して偽のアンチウイルス製品をWindowsセキュリティセンターインターフェースに登録させ、Microsoft Defenderを自己無効化させます。
  • 環境偵察: GitHubリポジトリからダウンロードされた専用の.NETモジュールによって、30秒ごとにスクリーンショットを撮影し、PNG画像として保存し、Telegramボットを使用してデータを外部に送信します。
  • Windows管理・診断ツールの無効化: レジストリベースのポリシー制御を改ざんして、これらのツールを無効にします。
  • ファイル関連付けハイジャック: 特定の事前定義された拡張子のファイルを開くと、被害者にメッセージが表示され、Telegram経由で攻撃者に連絡するように指示されます。

主要ペイロード:Amnesia RAT

セキュリティ制御と回復メカニズムが正常に無効化された後に展開される最終ペイロードの1つが、Dropboxから取得されるAmnesia RAT(「svchost.scr」)です。これは、広範なデータ窃盗とリモート制御が可能です。ウェブブラウザ、仮想通貨ウォレット、Discord、Steam、Telegramに保存されている情報、およびシステムメタデータ、スクリーンショット、ウェブカメラ画像、マイクオーディオ、クリップボード、アクティブウィンドウタイトルを盗むように設計されています。

Fortinetは、「RATは、プロセス列挙と終了、シェルコマンド実行、任意のペイロード展開、追加マルウェアの実行を含む、完全なリモートインタラクションを可能にする」と述べています。「データ流出は主にTelegram Bot APIを使用したHTTPS経由で行われます。より大規模なデータセットはGoFileのようなサードパーティのファイルホスティングサービスにアップロードされ、ダウンロードリンクはTelegramを介して攻撃者に中継されます。」Amnesia RATは、資格情報の窃盗、セッションハイジャック、金融詐欺、リアルタイムのデータ収集を促進し、アカウント乗っ取りや後続の攻撃のための包括的なツールとなっています。

主要ペイロード:ランサムウェア

スクリプトによって配信される2番目のペイロードは、Hakuna Matataランサムウェアファミリーから派生したランサムウェアであり、感染したエンドポイント上の文書、アーカイブ、画像、メディア、ソースコード、アプリケーション資産を暗号化するように構成されています。ただし、暗号化の前に、その機能と干渉する可能性のあるプロセスを終了させます。さらに、このランサムウェアはクリップボードの内容を監視し、仮想通貨ウォレットアドレスを攻撃者管理のウォレットにサイレントに修正して、トランザクションをリダイレクトします。

感染シーケンスは、ユーザーの操作を制限するためにWinLockerを展開することで終了します。

対策と提言

Lin氏は、「この攻撃チェーンは、現代のマルウェアキャンペーンがソフトウェアの脆弱性を悪用することなく、完全なシステム侵害を達成する方法を示している」と結論付けています。「ネイティブのWindows機能、管理ツール、ポリシー施行メカニズムを体系的に悪用することで、攻撃者は永続的な監視ツールと破壊的なペイロードを展開する前に、エンドポイントの防御を無効にします。」

Microsoftは、defendnotによるWindowsセキュリティセンターAPIの悪用に対処するため、ユーザーに対し、Tamper Protection(改ざん防止)を有効にしてDefender設定への不正な変更を防ぎ、疑わしいAPI呼び出しやDefenderサービス変更を監視することを推奨しています。

元記事: https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html

投稿をさらに読み込む