概要
コロンビアのユーザーを標的とした新たなフィッシングキャンペーンが確認されました。この攻撃は、裁判所の通知を装い、Scalable Vector Graphics (SVG) ファイルを悪用して、情報窃取マルウェア「AsyncRAT」を拡散させるものです。この巧妙な手口は、従来のセキュリティ対策を回避し、被害者のシステムにリモートアクセス型トロイの木馬(RAT)を送り込みます。
フィッシングキャンペーンの詳細
攻撃は、ボゴタ巡回第17地方民事裁判所を偽装したスペイン語の巧妙なフィッシングメールから始まります。このメールは、正式な法的文言と機関の詳細を含み、受信者を欺くことを目的としています。メール本文には「あなたに対して提出された訴状が添付されています。ボゴタ巡回第17民事地方裁判所。2025年9月11日。敬具、司法通知システム」と記載されており、被害者を誘い込みます。添付ファイルは「Fiscalia General De La Nacion Juzgado Civil 17.svg」という名前のSVGファイルで、被害者を誘い込みます。
感染経路
被害者が添付されたSVGファイルをクリックすると、埋め込まれたJavaScriptがBase64エンコードされたHTMLコンテンツをデコードし、偽の「司法長官事務所」相談ポータルを開きます。ここで、被害者は公式文書を装ったHTAファイル「DOCUMENTO_OFICIAL_JUZGADO.HTA」のダウンロードを促されます。
- このHTAファイルを実行すると、クライアントサイドのドロッパーが起動し、悪意のあるペイロードがジャンクコード内に隠されています。
- デコードされたVisual Basicスクリプト(`actualiza.vbs`)は、PowerShellダウンローダー(`veooZ.ps1`)を書き込み、実行します。
- このダウンローダーは、攻撃者制御下のサーバーからテキストファイル(`Ysemg.txt`)を取得し、プレースホルダー文字を置き換えてデコードすることで、`classlibrary3.dll`を生成します。
- この.NET DLLはモジュールローダーとして機能し、インジェクターコンポーネントをデコードして書き込み、AsyncRATペイロードを取得します。
- そして、.NETリフレクションを使用してAsyncRATを`MSBuild.exe`にインジェクションします。
- サンドボックス検出を回避するため、ローダーはVirtualBoxやVMwareのプロセスをチェックし、分析環境を検出した場合は処理を中止します。
このキャンペーンでは、分析時において添付されたSVGファイルがQuickHeal/Seqriteによってのみ検出されるなど、検出率が非常に低いことが指摘されています。
AsyncRATの機能
AsyncRATは.NET実行ファイルとして提供され、`MSBuild.exe`のコンテキスト内で完全にメモリ上で実行されます。主な機能は以下の通りです。
- システム詳細の収集:ハードウェア識別子、OSバージョン、ユーザー権限、インストールされているアンチウイルス製品、ウェブカメラの有無など。
- 難読化:ファイルは高度に難読化されており、XORやシフト演算ループを使用して難読化された値をデコードします。
- 永続化メカニズム:管理者権限で実行されている場合はスケジュールされたタスクを作成し、そうでない場合は`HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`に書き込みます。
- アンチ分析・アンチVMチェック:AMSIバイパス技術を含み、監視ツール(Taskmgr.exe、ProcessHacker.exe)を検索して終了させます。
- C2通信:コマンド&コントロールサーバーとの間にTLS暗号化チャネルを確立し、動的にプラグインをロードします。
- データ窃取:MessagePackでパッケージ化された盗まれたデータを外部に送信します。
- その他の機能:キーロギング、ファイル管理、リモートシェル実行、ウェブカメラ監視など。
対策
このキャンペーンでは、SVGファイルに悪意のあるコードを隠し、HTA、VBS、PowerShellを介して連鎖させることで、多くの従来の防御策を回避しています。セキュリティチームは、不審なSVGの挙動に注意し、厳格なメール添付ファイルポリシーを適用することが、このような多面的な脅威から身を守るために不可欠です。