サイバーニュース.jp

世界のサイバーなニュースを配信

Foxit PDF Readerを悪用した新たなサイバー攻撃:求職者が標的に、ValleyRATでシステム制御とデータ窃取

カテゴリ:

はじめに:巧妙化するサイバー攻撃の脅威

最近、洗練されたマルウェアキャンペーンが、Foxit PDF Readerを悪用して求職者を標的にしていることが明らかになりました。この攻撃では、電子メールを介してValleyRATと呼ばれるリモートアクセス型トロイの木馬が展開され、攻撃者は被害者のシステムを完全に制御し、データを窃取することが可能になります。

セキュリティ研究者らは、このキャンペーンの著しい増加を確認しており、ソーシャルエンジニアリング、難読化技術、そしてDLLサイドローディングを組み合わせることで、疑うことのないユーザーを危険に晒しています。ValleyRATは、個人、特に採用担当者や人材探索の専門家を含む組織にとって、深刻な脅威となっています。一度展開されると、マルウェアはシステム活動を監視し、機密情報を盗み出し、侵害されたデバイスへの永続的なアクセスを維持します。

最近の観測によると、ValleyRATの攻撃者は、これまでの主な標的であった中国語話者だけでなく、一般の求職者全般を狙うようになっていると報告されています。

「求職の焦り」を悪用した社会工学的手法

このキャンペーンは、求職における人間の心理的な脆弱性を悪用しています。攻撃者は、「Overview_of_Work_Expectations.zip」、「Candidate_Skills_Assessment_Test.rar」、「Authentic_Job_Application_Form.zip」といった採用関連の名称を持つアーカイブファイルを電子メールで配布します。これらの欺瞞的な誘い込みは、求職者が経験する精神的なストレスと緊急性につけ込み、警戒心を低下させ、ファイルの迅速なダウンロードを促します。

このような心理操作は意図的なものです。求職者は積極的に機会を求めており、添付ファイルを素早くダウンロードする傾向があるため、通常なら疑念を抱くような警告サインを見過ごしがちです。この心理的操作が、キャンペーンの並外れた成功率に直接貢献しており、10月末にValleyRATの検出数が著しく急増したというテレメトリーデータによって裏付けられています。

高度な技術的手口:DLLサイドローディングと多段階感染

攻撃の技術的実行は、洗練されたエンジニアリングを示しています。アーカイブファイルには、採用関連のファイル名に偽装され、正当なFoxitのロゴがアイコンとして表示された、改名された「FoxitPDFReader.exe」が含まれています。ほとんどのユーザーは、このようなファイルが実行ファイルではなくPDF文書であると想定するため、これが最初の欺瞞の層となります。

実行されると、マルウェアはDLLサイドローディングを悪用し、WindowsのDLL検索順序メカニズムを利用して悪意のあるコードをロードします。アーカイブには隠された「msimg32.dll」が含まれており、さらにアンダースコアで区切られたサブフォルダで深くネストされたディレクトリ構造が、マルウェアの存在を隠蔽するように設計されています。ユーザーが偽の職務詳細や給与情報を含むデコイPDFを見ている間に、ValleyRATはバックグラウンドで密かに実行されます。

感染経路は、洗練された多段階の展開プロセスを伴います。具体的には以下のステップで進行します:

  • バッチファイル(document.bat)が、文書ファイル(document.docxに偽装)から7-Zip実行ファイルを抽出。
  • この7-Zip実行ファイルが、文書ファイル(document.pdf)内からPython環境を取得。
  • 名前が変更されたPythonインタープリター(zvchost.exe)がシェルコードローダーを実行。
  • シェルコードローダーは、C&Cサーバーからbase64エンコードされた悪意のあるスクリプトをダウンロード。
  • 最終的に、自動実行レジストリエントリを通じて永続的なアクセスを確立。

ValleyRATによる情報窃取と永続的なアクセス

展開されたValleyRATペイロードは、ユーザーのインターネットブラウザから資格情報、閲覧履歴、その他の機密情報を含むデータを体系的に窃取します。Pythonがプリインストールされていないターゲットシステムでも、document.batスクリプトを介してPythonスクリプトを実行することが可能です。

マルウェアは、ランダム化された共通名と古いTLSバージョンを持つ自己署名証明書を使用してC&Cインフラストラクチャと通信します。これは、市販のRATビルダーによく見られる特徴です。組織は、Trend Vision Oneのようなセキュリティプラットフォームを活用して、このキャンペーンに関連する侵害指標を検出およびブロックすることができます。また、ユーザーが採用関連のフィッシング詐欺や疑わしい実行ファイルを識別できるよう、セキュリティ意識向上トレーニングが引き続き不可欠です。

これらの洗練された攻撃手法を理解することで、個人および企業は、情報漏洩やデータ窃盗を防ぐための積極的な防御策を講じることができます。

元記事: https://gbhackers.com/foxit-pdf-reader/

投稿をさらに読み込む