概要

Acronis Threat Research Unit (TRU)は、新たなマルウェアキャンペーン「CRESCENTHARVEST」について報告しました。このキャンペーンでは、イラン反政府デモを装って情報窃取型のリモートアクセストロジェン（RAT）を配布しています。

背景と手法

CRESCENTHARVESTは、1月9日以降に表面化し、政治的なテーマを利用した誘導ファイルを使用して展開されています。これらのファイルには、実際のデモ映像や文書が含まれており、ファーサ語話者を対象としています。

攻撃手順

• .LNKファイルの利用：攻撃者は、通常のメディアファイルに見える偽装されたWindowsショートカット（.LNK）ファイルを使用します。これらのファイルを開くと、一連のnested conhost.exeインスタンスが起動し、cmd.exeやPowerShellを経由して本体のpayloadを展開します。
• 持続性確保：スケジュールされたタスクを通じてネットワーク接続時にpayloadを実行することで、長期的な監視を可能にしています。

CRESCENTHARVESTの機能

CRESCEANTHARVESTはDLLサイドローディングを使用し、Googleの署名付きソフトウェアレポーター・ツール（software_reporter_tool.exe）を悪用して、マルウェアの本体を実行します。このRATは、キーストローク記録やブラウザの資格情報、Cookie、履歴データの窃取などを行います。

脅威の拡大

CRESCEANTHARVESTはTelegramデスクトップインストールを特定し、セッションデータをエクスプロイトします。また、C2サーバーとの通信はJSONメッセージを使用しており、HTTPS経由で行われます。

対策と注意点

このキャンペーンでは、ユーザーが不審なデモ関連のアーカイブを信頼しないことが重要です。ハードウェアセキュリティキーを使用し、感情的に響くコンテンツも攻撃ベクターとして扱うべきです。

元記事: https://gbhackers.com/crescentharvest-malware-campaign/