概要
組織を狙った新たなフィッシングキャンペーンが確認されました。この攻撃では、偽の従業員業績評価レポートを悪用し、「Guloader」マルウェアを展開、最終的に感染したシステムに「Remcos RAT」をインストールします。
本キャンペーンは、従業員の職の安定への不安を利用した巧妙なソーシャルエンジニアリングを特徴としています。
巧妙なフィッシング手口
脅威アクターは、2025年10月の従業員業績評価レポートを共有すると称するフィッシングメールを送信します。メール本文では、経営陣が一部従業員の解雇を検討していると主張し、受信者に対し添付されたレポートを確認するよう促します。これにより、職の喪失に対する不安を悪用し、ターゲットユーザーが適切な確認なしに添付ファイルを開く可能性を高めます。
添付ファイルは、圧縮されたRARアーカイブとして届きます。このアーカイブ内には、「staff record pdf.exe」という名前のNSIS実行ファイルが含まれています。この命名規則は、ファイル拡張子がデフォルトで非表示になっているシステムで、ユーザーに害のないPDFドキュメントと誤解させるように設計されています。ユーザーがPDFファイルと信じてダブルクリックすると、代わりに実行ファイルが起動し、マルウェア感染チェーンが開始されます。
GuloaderとRemcos RATの脅威
「staff record pdf.exe」は、実際にはGuloaderマルウェアです。一度実行されると、Guloaderは即座に目に見えるペイロードをディスクにドロップせず、代わりにメモリにシェルコードをロードし、リモートのコマンド&コントロール (C2) サーバーから次のステージのペイロードを取得します。
このキャンペーンでは、Google DriveのURL (例: hxxps://drive.google[.]com/uc?export=download&id=1bzvByYrIHy24oMCIX7Cv41gP9ZY3pRsgv) からシェルコードがダウンロードされました。正規のクラウドストレージプラットフォームを使用することで、攻撃者は通常のトラフィックに紛れ込み、単純なドメインベースのブロックを回避します。
この攻撃チェーンで最終的に配信されるペイロードは、広く知られているリモートアクセス型トロイの木馬であるRemcos RATです。Remcosがインストールされると、攻撃者は広範なリモートコントロール機能を手に入れます。脅威アクターは以下のことが可能になります。
- キーストロークのログ記録
- スクリーンショットのキャプチャ
- ウェブカメラとマイクの制御
- ブラウザの履歴と保存されたパスワードの持ち出し
確認されたインシデントでは、RemcosはC2サーバー(196.251.116[.]219)とポート2404および5000を介して通信し、攻撃者が感染したマシンへの永続的なアクセスを維持し、監視やデータ窃取を実行しました。
対策と推奨事項
このキャンペーンは、いくつかの懸念すべき傾向を浮き彫りにしています。攻撃者は、ペイロードのホスティングやC2インフラストラクチャとして、クラウドストレージサービスなどの正規のプラットフォームを悪用するケースが増加しており、従来のブラックリストベースの防御の効果を低下させています。同時に、彼らは従業員の解雇や業績に対する不安といった人間の感情を悪用する、巧妙なソーシャルエンジニアリングに依存し続けています。
リスクを軽減するために、組織は以下の対策を講じる必要があります。
- ファイル拡張子がデフォルトで表示されるようにする。
- 継続的なフィッシング対策トレーニングを提供する。
- 悪意のある実行ファイルや疑わしいメモリ活動を検出できる高度な電子メールおよびエンドポイントセキュリティを展開する。
- 特に圧縮アーカイブや実行ファイルが関与している場合、未承諾の業績評価レポートや人事関連のドキュメントには慎重に対処する。
- 定期的なパスワード変更、多要素認証(MFA)、および迅速なインシデント報告は、資格情報が侵害されたりシステムが感染した場合の影響を制限するのに役立つ。