概要
Seqrite Labsは、偽の送金確認メールに埋め込まれた悪意のあるISOファイルを介して、情報窃取マルウェア「Phantom Stealer」を配信する活発なロシアのフィッシングキャンペーンを発見しました。この高度な攻撃は、Windowsシステムを標的としています。
標的とリスク
この攻撃は主にロシアの金融および会計専門家を狙っており、ソーシャルエンジニアリングの手口を用いて、認証情報、仮想通貨ウォレット、ブラウザデータ、機密ファイルを盗む悪意のあるペイロードを実行させます。
キャンペーンは特に、ロシア組織内の財務、会計、資金管理、支払い部門に焦点を当てています。二次的な標的には、調達チーム、法務部門、人事および給与担当者、役員秘書、ロシア語圏で事業を展開する中小企業が含まれます。この攻撃は、認証情報の窃取、請求書詐欺、不正な資金移動、およびITシステム全体への横展開といった重大なリスクをもたらします。
フィッシングキャンペーンの起源
Seqriteの研究者たちは、「Подтверждение банковского перевода」(銀行送金確認)というタイトルのロシア語のフィッシングメールを特定しました。このメールは、侵害されたメールアドレスから発信されており、TorFX Currency Brokerになりすまし、金融担当者にとって正当に見えるように公式なビジネス言語を使用しています。
感染経路
このメールには、従来のセキュリティ制御を回避するように設計された、約1メガバイトの悪意のあるZIPアーカイブが含まれており、その中にISOファイルが隠されています。送信元ドメイン「iskra-svarka.ru」と偽装されたドメイン「agroterminal.c」は、想定される組織とは無関係であり、メールのなりすましと詐欺の手口が明確に示されています。
被害者がZIP添付ファイルを開き、ISOファイルを実行すると、それは仮想CDドライブとして自動マウントされ、正規の支払い確認ドキュメントに偽装された実行可能ファイルが表示されます。この実行可能ファイルは、暗号化されたコードを含む「CreativeAI.dll」というDLLファイルから始まり、追加のペイロードをメモリにロードします。このDLLは、Phantom Stealerマルウェアの最終バージョンを復号化し、システムに注入します。
マルウェアの分析
このマルウェアは、検出を回避するために、System.Drawing.Bitmapオブジェクト内に悪意のあるコードを隠すステガノグラフィー技術を採用しています。この多層的なアプローチにより、既知のマルウェア署名を主にスキャンするセキュリティソリューションを攻撃者は回避できます。
「Operation MoneyMount-ISO」は、脅威アクターがISOマウントされた実行可能ファイルを利用して、境界セキュリティ制御を回避しながら一般的な情報窃取型マルウェアを配信するという進化する傾向を示しています。このキャンペーンの支払い確認を装ったソーシャルエンジニアリングの誘いと、偽装されたロシアのビジネスドメインの組み合わせは、金融関連の役割に特化した、高度に標的化された認証情報窃取活動を示唆しています。
対策と提言
型破りなファイル形式を介して配信される情報窃取型マルウェアの洗練度の向上は、技術的制御とユーザー教育を組み合わせた多層的な防御アプローチを必要とします。
侵害指標 (IOCs)
- 27bc3c4eed4e70ff5a438815b1694f83150c36d351ae1095c2811c962591e1bf Email
- 4b16604768565571f692d3fa84bda41ad8e244f95fbe6ab37b62291c5f9b3599 Подтверждение банковского перевода.zip
- 60994115258335b1e380002c7efcbb47682f644cb6a41585a1737b136e7544f9 Подтверждение банковского перевода.iso
- 78826700c53185405a0a3897848ca8474920804a01172f987a18bd3ef9a4fc77 HvNC.exe
元記事: https://gbhackers.com/hackers-target-windows-systems-using-phantom-stealer/