サイバーニュース.jp

世界のサイバーなニュースを配信

LinkedIn悪用:脅威アクターがRATを企業ネットワークに配布する手口とは

カテゴリ:

概要:巧妙化するフィッシング攻撃

脅威アクターがLinkedInのプライベートメッセージを悪用し、企業ネットワークにリモートアクセス型トロイの木馬(RAT)を配布する新たなフィッシングキャンペーンが確認されました。この攻撃は、DLLサイドローディング技術と、悪意のある目的で武器化されたオープンソースのPythonペネトレーションテストスクリプトを組み合わせることで、従来のセキュリティ検出を回避しつつ、企業システムに対する永続的な制御を確立することを可能にしています。

攻撃の手口:標的型メッセージと悪意あるアーカイブ

攻撃は、正当なビジネス文書を装った悪意のあるWinRAR自己解凍型アーカイブへのリンクを含む、標的型のLinkedInメッセージから始まります。これらのアーカイブには、以下の4つの主要コンポーネントが含まれています。

  • 正規のオープンソースPDFリーダーアプリケーション
  • 良性ライブラリを装った悪意のあるDLLファイル
  • ポータブルPythonインタプリタ
  • 正当性を装うためのデコイRARファイル

ファイル名は、受信者の業界の役割に合わせて「Upcoming_Products.pdf」や「Project_Execution_Plan.exe」のように巧妙に作成されており、信頼性を高めています。

DLLサイドローディングとRATの展開

実行時、PDFリーダーは意図せず悪意のあるDLLをロードします。これは、アプリケーションがシステムディレクトリよりもローカルディレクトリのファイルを優先するDLLサイドローディングという手法によるものです。これにより、攻撃者のコードは信頼されたプロセスとして実行され、通常なら不審なアクティビティを検知するはずのエンドポイントセキュリティツールを効果的に迂回します。

悪意のあるペイロードはその後、ポータブルPythonインタプリタを展開し、永続的なレジストリRunキーを作成することで、ログインごとに自動実行されるようにします。Pythonインタプリタは、Base64エンコードされたオープンソースのシェルコードランナースクリプトをPythonのexec()関数を使用して実行し、メモリ内での復号化を可能にします。これにより、ディスクベースのアーティファクトを作成せずに、従来のアンチウイルスソリューションを回避し、最終的なRATペイロードを注入します。

分析中に観測されたコマンド&コントロール(C2)通信の試行は、RATの展開を確認しており、これにより攻撃者はデータ窃取、権限昇格、および内部ネットワークでの横方向の移動のために、永続的なアクセス権を得ます。

キャンペーンが成功する要因

この攻撃ベクトルは、サイバー犯罪者にとって3つの重要な利点を悪用しています。

  • 従来のセキュリティ回避: ソーシャルメディアプラットフォームは従来のメールセキュリティ制御を迂回するため、セキュリティチームにとって可視性の盲点が生じます。
  • 正規ツールの悪用: WinRARやオープンソースのPythonペネトレーションテストスクリプトといった正規の信頼されたツールを武器化することで、攻撃者はシグネチャベースの検出システムを潜り抜けることができます。
  • 精密な標的選定: LinkedInの専門的なコンテキストと組織階層に関する豊富な公開情報により、幹部や特権アクセスを持つIT管理​​者を含む高価値の個人を正確に標的にすることが可能になります。

オープンソースのペネトレーションテストスクリプトの利用は、攻撃者が開発コストと検出リスクを低減しつつ、帰属の特定を困難にするという増大する傾向を示しています。これらのツールは一般に公開されており、セキュリティ専門家によって広く信頼されているため、悪意のある利用は自動スキャンシステムによる検知を回避することがよくあります。

推奨される防御策

組織は、この種の攻撃に対処するためにセキュリティ戦略を進化させる必要があります。

  • ソーシャルメディアセキュリティ意識向上トレーニング: LinkedInや類似プラットフォームからのダウンロードを、メール添付ファイルと同様に懐疑的に扱うよう、従業員にソーシャルメディア固有のセキュリティ意識向上トレーニングを実施する必要があります。特に、実行可能なアーカイブのような危険なファイルタイプを認識し、不審なファイルを開く前にIT検証を義務付けるよう教育すべきです。
  • ファイルダウンロードの制限: セキュリティチームは、企業デバイスからの個人ソーシャルメディアアクセスを監査し、これらのプラットフォームからのファイルダウンロードを安全な場所に制限する制御を実装する必要があります。
  • アプリケーション制御と監視: アプリケーション制御ポリシーは、不正なPython実行可能ファイルやポータブルインタプリタをブロックし、特に予期せぬディレクトリからのBase64エンコードスクリプト実行など、異常なPythonアクティビティがないかエンドポイントを監視する必要があります。

このキャンペーンは、従来のメールチャネルを超えて攻撃対象領域が拡大していることを示しており、組織は信頼されたビジネスプラットフォームから発生する脅威に対処するためにセキュリティ戦略を進化させる必要があります。

元記事: https://gbhackers.com/linkedin-exploited/

投稿をさらに読み込む