サイバーニュース.jp

世界のサイバーなニュースを配信

Google広告を悪用したスピアフィッシングキャンペーン、EndRATマルウェアを拡散

カテゴリ:

「Operation Poseidon」:Google広告を悪用した高度なスピアフィッシング

Genians Security Centerの分析によると、「Operation Poseidon」と名付けられた高度なAPTキャンペーンが、Konni脅威グループによって展開されていることが明らかになりました。このキャンペーンは、正規の広告インフラを悪用してEndRATマルウェアを拡散しており、特に韓国の金融機関や人権団体を標的としています。攻撃者は信頼されたプラットフォームを利用することで、従来のセキュリティ防御を回避しようとしています。

巧妙な攻撃経路:正規広告システムによるリダイレクト

攻撃は、正規の広告トラフィックを装ったURLを含む悪意のある電子メールから始まります。ユーザーを直接悪意のあるサイトへ誘導するのではなく、攻撃者はGoogle広告のDoubleClickインフラ(ad.doubleclick[.]net)やNaverのマーケティングプラットフォーム(mkt.naver[.]com)のリダイレクトメカニズムを悪用します。URLパラメータ内に悪意のあるC2アドレスを埋め込むことで、キャンペーンの真の宛先を隠蔽し、電子メールセキュリティフィルタリングを回避します。この手法は、初期のリダイレクトが信頼できる広告プラットフォームから発信されているように見えるため、URL評価システムやユーザーの疑念を回避する可能性を著しく高めます。

侵害されたWordPressサイトとEndRATペイロードの配布

標的が正常にエンゲージメントすると、ユーザーはマルウェア配布ポイントおよびコマンド&コントロール(C2)インフラとして機能する侵害されたWordPressウェブサイトに誘導されます。これらのセキュリティが不十分なWordPressインスタレーションは、攻撃者にドメインおよびURLベースのブロックポリシーを無効にする迅速なインフラストラクチャ入替能力を提供します。

EndRATペイロードは、正規のドキュメントアイコンとファイル名を装った悪意のあるWindowsショートカット(LNK)ファイルを含む圧縮アーカイブとして到着します。これは、韓国の金融機関やNGOになりすましており、AIベースのフィッシング検出システムのロジックを意図的に混乱させる高度な回避技術と見なされています。

多段階のペイロード実行とKonni APTの関連性

LNKファイルの実行は、巧妙な多段階ペイロードをトリガーします。ショートカットは、正当なスクリプト言語であるAutoItスクリプトを実行し、さらにPDFドキュメントとして偽装されます。このスクリプトは、追加のユーザーインタラクションを必要とせずに、AutoIt3.exeと悪意のあるAutoItベースのリモートアクセス型トロイの木馬(EndRAT)をメモリに直接ダウンロードします。

AutoItスクリプトのソースコード分析により、「D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x」という内部ビルドパスが明らかになりました。この開発成果物は、脅威アクターが内部的にキャンペーンを「Poseidon」と指定し、個別の運用単位として管理していることを示唆しており、成熟したインフラストラクチャと継続的な開発が行われていることを示唆しています。

Konni APTへの脅威アクターの関連付けは、以前報告されたキャンペーンとの複数の技術的相関によって裏付けられています。C2インフラストラクチャ(jlrandsons.co[.]uk)の再利用、一貫したLNKファイル構造、および北朝鮮の人権テーマを悪用した標的パターンは、文書化されたKonniの活動と一致しています。

推奨される緩和策

脅威グループがAutoItベースのマルウェア実行を好み、インフラストラクチャの難読化のために正規のサービスドメインを使用する手口は、彼らの戦術、技術、手順(TTPs)の確立された一部です。組織は、シグネチャベースの検出のみに頼るのではなく、行動ベースの脅威分析が可能なエンドポイント検出および応答(EDR)ソリューションを導入する必要があります。EDRシステムは、疑わしいAutoItスクリプトの実行、インメモリマルウェア注入パターン、およびショートカットファイルによって開始される異常なプロセスチェーンを監視する必要があります。

電子メールセキュリティ制御は、パディング回避技術を検出するための高度なコンテンツ分析を組み込む必要があり、URLサンドボックスは疑わしい広告リダイレクトをデトネート(分析)すべきです。

「Operation Poseidon」の洗練された多層的なアプローチを考慮すると、防御戦略には、これらの国家支援型作戦に効果的に対抗するための、脅威アクターに焦点を当てた相関分析と継続的な脅威ハンティング能力が求められます。

侵害の痕跡(IoC)

  • f5842320e04c2c97d1f69cebfd47df3d
  • 6a4c3256ff063f67d3251d6dd8229931
  • 8b8fa6c4298d83d78e11b52f22a79100
  • 303c5e4842613f7b9ee408e5c6721c00
  • 639b5489d2fb79bcb715905a046d4a54
  • 908d074f69c0bf203ed225557b7827ec
  • 0171338d904381bbf3d1a909a48f4e92
  • 0777781dedd57f8016b7c627411bdf2c
  • 94935397dce29684f384e57f85beeb0a
  • a9a52e2f2afe28778a8537f955ee1310
  • a58ef1e53920a6e528dc31001f302c7b
  • ad6273981cb53917cb8bda8e2f2e31a8
  • d4b06cb4ed834c295d0848b90a109f09
  • d6aa7e9ff0528425146e64d9472ffdbd

元記事: https://gbhackers.com/spear-phishing-campaign/

投稿をさらに読み込む