SyncFutureキャンペーンの概要
インド居住者を標的とした巧妙な多段階サイバースパイキャンペーン「SyncFutureキャンペーン」が確認されました。この攻撃は、所得税局を装ったフィッシングメールから始まり、最終的なペイロードとして正規のエンタープライズセキュリティソフトウェアを悪用している点が特徴です。脅威アクターは、信頼された商用ツールを再利用することで、被害者システムへの永続的かつ検出されにくいアクセスを確立します。
攻撃の初期段階と巧妙な回避策
初期感染は、DLLサイドローディングという手法を用いて行われます。これは、正規の署名付きMicrosoftアプリケーションに悪意のあるペイロードをロードさせることで、検出を回避するものです。第一段階のローダーには、プロセス環境ブロック(PEB)操作、APIフック検出、タイミングベースのサンドボックス回避メカニズムなど、高度なアンチデバッグチェックが組み込まれています。
これらの防御を通過した後、マルウェアはコマンド&コントロール(C2)サーバーと通信し、パックされたシェルコードをダウンロードします。eSentire Threat Response Unit (TRU) は、長期的なスパイ活動を目的とした多段階バックドアを展開するこのキャンペーンを特定しました。
セキュリティツールの悪用と永続化
第二段階では、COMベースの昇格技術を用いてWindowsユーザーアカウント制御(UAC)をバイパスし、自身のプロセスプロパティを正規のWindows explorer.exeアプリケーションになりすますことで、エンドポイント監視ツールから身を隠します。
このキャンペーンの際立った特徴は、Avast Free Antivirusの標的型回避です。Avastが検出されると、マルウェアはBlackmoonaバンキング型トロイの木馬の亜種を展開します。これは自動的なマウスシミュレーションを利用してAvastのGUIを操作し、悪意のあるファイルをアンチウイルス除外リストに追加します。この自動化された操作は、攻撃者の技術的な洗練度とセキュリティソフトウェアインターフェースへの理解を示しています。
感染は、カスタムバッチスクリプトとWindowsサービスを通じて永続的なアクセスを確立する後続の段階へと進行します。これらはセーフモードでの再起動後も存続するように構成されています。
最終ペイロード「SyncFuture TSM」
最終的なペイロードは、中国の南京中科華賽科技有限公司が開発した商用データセキュリティ製品「SyncFuture TSM (Terminal Security Management System)」です。このツールは正規のエンタープライズソリューションとしてリモート監視・管理機能を提供していますが、本キャンペーンではオールインワンのスパイフレームワークとして機能します。展開されたシステムには、透過的なデータ暗号化機能、ファイル操作やウェブサイト訪問をログに記録する広範な監視機能、画面記録機能、およびオペレーターに完全なデスクトップアクセスを許可するリモート制御メカニズムが含まれています。
ドロップされたファイルの分析により、攻撃者の運用セキュリティへの細心の注意が明らかになりました。複数の実行ファイルには2019年から2024年までの有効なコード署名証明書が付与されており、正規のソフトウェア配布チャネルの悪用が示唆されます。
また、MpGear.dllの分析では、脅威アクターが専門ツールを使用して、正規のMicrosoftバイナリのデジタル署名をMpGear.dllにクローンした可能性が示されています。これは無効なデジタル署名として検出されています。
さらに、”Nanjing Yangtu Information Technology Co., Ltd.”によって署名されたカーネルモードドライバーは、システムレベルアクセスとの深い統合を示しています。サポートするバッチスクリプトは、システムアクセス制御リスト(ACL)を操作してセキュリティを弱め、署名されていないドライバーをロードするためにWindowsテストモードを有効にし、持続的なマルウェア操作のために昇格された権限を持つディレクトリを確立します。
専門家の分析と対策
このキャンペーンは、国家が関与する活動と一致する高度な持続的脅威(APT)の特性を示しています。正規のエンタープライズソフトウェアを悪用し、自動化されたGUI操作を通じてアンチウイルス検出を回避し、多層的な永続化メカニズムを確立することで、脅威アクターは長期的なスパイ活動を目的とした侵入フレームワークを構築しました。
組織は、同様のキャンペーンから防御するために、EDR(Endpoint Detection and Response)の導入、フィッシングに特化したセキュリティ意識向上トレーニング、および未承認のサードパーティソフトウェアに対する厳格なポリシーを優先すべきです。