サイバーニュース.jp

世界のサイバーなニュースを配信

インドのユーザーが税金フィッシングキャンペーンの標的に、Blackmoonマルウェアが拡散

カテゴリ:

概要

サイバーセキュリティ研究者らは、インドのユーザーを標的とした継続的なキャンペーンを発見しました。これは多段階のバックドアを配信するもので、サイバースパイ活動の一環と疑われています。eSentire Threat Response Unit (TRU) によると、この活動はインドの所得税局を装ったフィッシングメールを利用して、被害者に悪意のあるアーカイブをダウンロードさせ、最終的に脅威アクターが永続的にマシンにアクセスし、継続的な監視とデータ窃取を行うことを可能にします。

この洗練された攻撃の最終的な目的は、既知のバンキングトロイの木馬であるBlackmoon(別名KRBanker)の亜種と、中国企業Nanjing Zhongke Huasai Technology Co., Ltd.が開発した正規のエンタープライズツールSyncFuture TSM (Terminal Security Management)を展開することです。eSentireは、「正規のエンタープライズツールとして販売されているにもかかわらず、このキャンペーンでは強力なオールインワンのスパイフレームワークとして再利用されています」と述べています。このシステムを最終的なペイロードとして展開することで、脅威アクターは強固な永続性を確立し、被害者の活動を監視し、機密情報の窃盗を集中管理するための豊富な機能セットを獲得します。

攻撃の詳細

偽の納税通知書を通じて配布されるZIPファイルには、5つの隠しファイルと、そのうちの1つである実行可能ファイル(「Inspection Document Review.exe」)が含まれています。この実行可能ファイルは、アーカイブ内の悪意のあるDLLをサイドロードするために使用されます。このDLLはデバッガーによる遅延を検出し、外部サーバーに接続して次の段階のペイロードをフェッチします。

ダウンロードされたシェルコードは、COMベースの技術を使用してユーザーアカウント制御(UAC)プロンプトをバイパスし、管理者権限を取得します。また、自身のプロセス環境ブロック(PEB)を変更して、正規のWindowsプロセス「explorer.exe」になりすまし、検出を回避します。さらに、「eaxwwyr[.]cn」ドメインから次の段階の「180.exe」を取得します。これは32ビットのInno Setupインストーラーであり、侵害されたホストでAvast Free Antivirusプロセス(「AvastUI.exe」)が実行されているかどうかに基づいて動作を調整します。

マルウェアの回避と機能

セキュリティプログラムが検出された場合、マルウェアは自動マウスシミュレーションを使用してAvastのインターフェースを操作し、アンチウイルスエンジンを無効にすることなく、悪意のあるファイルをその除外リストに追加して検出をバイパスします。これは、Blackmoonマルウェアファミリーの亜種と評価されるDLLによって実現されます。Blackmoonは、韓国、米国、カナダの企業を標的にしていることで知られており、2015年9月に初めて確認されました。

除外リストに追加されるファイルは「Setup.exe」という実行可能ファイルで、SyncFutureTec Company Limitedのユーティリティであり、「mysetup.exe」をディスクに書き込むように設計されています。後者はSyncFuture TSM(商用RMMツール)であると評価されています。正規の提供品を悪用することで、このキャンペーンの脅威アクターは、感染したエンドポイントをリモートで制御し、ユーザーのアクティビティを記録し、関心のあるデータを窃取する能力を獲得します。

実行可能ファイルの実行後に展開されるその他のファイルは以下の通りです:

  • カスタムディレクトリを作成し、すべてのユーザーに権限を付与するためにアクセス制御リスト(ACL)を変更するバッチスクリプト
  • デスクトップフォルダーのユーザー権限を操作するバッチスクリプト
  • クリーンアップおよび復元操作を実行するバッチスクリプト
  • さまざまなサービスを調整し、広範なロギングを可能にする「MANC.exe」という実行可能ファイル

脅威アクターの能力

eSentireは、「これにより、データの窃取だけでなく、侵害された環境に対するきめ細かい制御を維持し、ユーザーアクティビティをリアルタイムで監視し、自身の永続性を確保するためのツールが提供されます」と述べています。「対分析、権限昇格、DLLサイドローディング、商用ツールの悪用、およびセキュリティソフトウェア回避を組み合わせることで、脅威アクターは能力と意図の両方を示しています。」

元記事: https://thehackernews.com/2026/01/indian-users-targeted-in-tax-phishing.html

投稿をさらに読み込む