概要と攻撃の発見
「Blind Eagle」と称される脅威アクターが、侵害された組織内メールアカウントを悪用し、標的型フィッシングキャンペーンを展開していることが明らかになりました。この攻撃は、従来のメールセキュリティ制御を回避し、コロンビア政府機関を標的としています。Zscaler ThreatLabzの調査によると、このキャンペーンは2025年9月上旬に発見され、特にコロンビア商工観光省(MCIT)傘下の政府機関が狙われました。
攻撃者は、同じ組織内の侵害されたアカウントからフィッシングメールを送信することで、同僚間の本質的な信頼関係を悪用し、内部のメールインフラストラクチャを活用して検出を逃れています。
巧妙な攻撃チェーンの分析
攻撃は、共有ITチームのメールアドレス宛に、別の機関の共有アカウントから送信されるフィッシングメールから始まります。これにより、メールは正当なものに見えます。
- 攻撃者は、メモリ内スクリプト、Discordなどの正規のインターネットサービス、ステガノグラフィーを悪用。
- メールのメタデータ分析では、送信者と受信者のドメインが適切にDMARC、DKIM、SPFプロトコルを設定していることが判明。しかし、メッセージが組織のMicrosoft 365テナント内に完全に留まっていたため、これらのチェックは適用されず、セキュリティメカニズムが回避されました。
- フィッシングの誘い水は、コロンビアの司法制度を模倣した法律テーマのデザインを採用。本物らしい労働訴訟の事件番号と日付を提示し、受信者に即座の行動を促します。
- メールにはクリック可能なSVG画像が含まれており、これをクリックすると、コロンビアの公式司法ポータルを模倣したBase64エンコードされたHTMLページがデコードされます。
- この偽のポータルは、数秒以内に「ESCRITO JUDICIAL AGRADECEMOS CONFIRMAR RECIBIDO NOTIFICACION DE ADMISION DEMANDA LABORAL ORDINARIA E S D.js」というJavaScriptファイルを自動的にダウンロード。
- 攻撃チェーンは、3つのJavaScriptスニペットに続きPowerShellコマンドが実行されるファイルレスの実行シーケンスを開始します。
- 最初の2つのスクリプトは、単純なアルゴリズムを使用して埋め込まれたペイロードを復号化し、次のステージを起動するための実行可能コードを再構築します。
- 3番目のJavaScriptステージでは、Unicodeベースのコメント難読化を導入し、Win32_Process.Create()メソッドを通じてPowerShellコマンドを実行するためにWindows Management Instrumentation(WMI)を使用します。
- 最終的に、ペイロードは分離・デコードされ、リフレクションを使用して.NETアセンブリとして動的にロードされ、ClassLibrary1のホームクラス内のVAIメソッドが呼び出されます。
CaminhoダウンローダーとDCRATの展開
Zscaler ThreatLabzは、ロードされたアセンブリを「Caminho」(別名VMDetectLoader)と特定しました。これは、2025年5月に初めて確認されたマルウェアダウンローダーです。
- PowerShellコマンドは、Internet Archiveから画像ファイルをダウンロードし、「BaseStart-」と「-BaseEnd」マーカー間に埋め込まれたBase64エンコードされたペイロードを抽出。この設定はAES-256で暗号化されており、設定の整合性確保とC2サーバー認証の二重目的を果たす証明書を含んでいます。
- Blind Eagleは、このダウンローダーを2025年6月以降のキャンペーンで利用していた可能性があります。
- マルウェアのコードベースには「caminho」(「パス」を意味するポルトガル語)のようなポルトガル語の引数名が含まれており、ブラジルのサイバー犯罪エコシステムに起源を持つ可能性を示唆しています。
- Caminhoの主要なメソッドは、Discord CDNのURLから「AGT27.txt」というテキストファイルをダウンロードします。このファイルはBase64エンコードと反転によって難読化されており、ディスクに書き込まれることなくメモリに直接ロードされます。
- Caminhoはその後、Base64エンコードされ反転されたコンテンツを復号化し、正規のMSBuild.exeインスタンスがマルウェアコードをホストするために中空化されるプロセスホローイングを介して実行します。
- 注入されたペイロードはDCRATであり、キーロギング、ディスクアクセスなどの機能を提供するオープンソースのC#リモートアクセス型トロイの木馬です。DCRATは、検出を回避するためにMicrosoftのAMSI(Antimalware Scan Interface)にパッチを適用するという点で、AsyncRATの亜種とは一線を画しています。
Blind Eagleへの帰属と根拠
このキャンペーンは複数の要因に基づき、中程度の確度でBlind Eagleに帰属されています。
- DCRATのC2ドメインは、Blind Eagleによって利用されていることが知られているホスティングプロバイダーであるASN 42708(GleSYS AB)のスウェーデンのIPアドレスに常に解決されます。
- キャンペーンでは、以前にBlind Eagleが好んで使用していたと文書化されているydns[.]euのダイナミックDNSサービスも利用されています。
- 被害者に関する情報も帰属を強く裏付けており、コロンビアはBlind Eagleの主要な標的であり、コロンビア政府機関への攻撃の歴史が文書化されています。
侵害の痕跡(IoCs)
- JavaScriptファイル:
- MD5: 961ebce4327b18b39630bfc4edb7ca34
- SHA1: 3983a5b4839598ba494995212544da05087b811b
- SHA256: d0fe6555bc72a7a45a836ea137850e6e687998eb1c4465b8ad1fb6119ff882ab
- SVGアタッチメント:
- MD5: d80237d48e1bbc2fdda741cbf006851a
- SHA1: 722a4932576734a08595c7196d87395e6ec653d7
- SHA256: 8f3dc1649150961e2bac40d8dabe5be160306bcaaa69ebe040d8d6e634987829
- 詐欺的なウェブポータル:
- MD5: c98eb5fcddf0763c7676c99c285f6e80
- SHA1: 3ab2aa4e9a7a8abcf1ea42b51152f6bb15a1b3c5
- SHA256: 03548c9fad49820c52ff497f90232f68e044958027f330c2c51c80f545944fc1
- PNG画像:
- MD5: 4284e99939cebf40b8699bed31c82fd6
- SHA1: 21e95fed5fc5c4a10fafbc3882768cce1f6cd7af
- SHA256: 08a5d0d8ec398acc707bb26cb3d8ee2187f8c33a3cbdee641262cfc3aed1e91d
- Caminhoインスタンス:
- MD5: 9799484e3942a6692be69aec1093cb6c
- SHA1: b3fb8a805d3acc2eda39a83a14e2a73e8b244cf4
- SHA256: c208d8d0493c60f14172acb4549dcb394d2b92d30bcae4880e66df3c3a7100e4
- テキストファイル:
- MD5: bbb99dfd9bf3a2638e2e9d13693c731c
- SHA1: 4397920a0b08a31284aff74a0bed9215d5787852
- SHA256: d139bfe642f3080b461677f55768fac1ae1344e529a57732cc740b23e104bff0
- DCRATインスタンス:
- MD5: 97adb364d695588221d0647676b8e565
- SHA1: 38b0e360d58d4ddb17c0a2c4d97909be43a3adc0
- SHA256: e7666af17732e9a3954f6308bc52866b937ac67099faa212518d5592baca5d44
- ダウンロードURL: hXXps://archive[.]org/download/optimized_msi_20250821/optimized_MSI.png
- DCRAT C2ドメイン: startmenuexperiencehost[.]ydns.eu