概要
攻撃者は、偽の裁判文書とGitHubホストされたペイローダを使用して、アルゼンチンの司法セクターを標的とした集中型スピアフィッシングキャンペーンを展開しています。この操作は「Operation Covert Access」と呼ばれ、ウィンドウズLNKショートカットやBATローダー、PowerShellを使用して、GitHubインフラストラクチャからmsedge_proxy.exeと偽装されたペイロードを静かに取得し実行します。
標的
この攻撃はアルゼンチンの司法生態系全体を対象としており、連邦裁判所、法律専門家、法執行関連政府機関、学術機関、および法律支援団体などが含まれています。
攻撃手法
攻撃者は高度に現実的な司法PDF文書を使用して、公式通信に対する信頼を悪用し、初期アクセスを得て長期的な足場を確立します。この操作は、Seqriteが発表した隠蔽型RATスピアフィッシングキャンペーンの研究に基づいています。
攻撃フロー
攻撃者はZIPアーカイブを配信し、その中に武器化されたLNKショートカット、BATベースのローダースクリプト、および裁判所テーマのPDFダミーが含まれています。被害者がLNKを開くと、PowerShellが直接システムディレクトリから実行され、実行ポリシーをバイパスし、隠れたモードで動作しながら同時に無害に見えるPDFフロントエンドを開きます。
COVERT RATの挙動と回避
msedge_proxy.exeは、仮想化やサンドボックス、デバッグを検出するための広範なチェックを行い、分析アーティファクトが存在すれば即座に終了します。さらに、システムメーカー、VMware、VirtualBoxなどのファイルパスやレジストリキーをスキャンし、WiresharkやProcmonなどのツールも確認します。
攻撃の目的
このキャンペーンは、信頼できるコンテンツとインフラ(裁判文書とGitHub)を使用して、ユーザーの疑念を避けて長期的なアクセスを得るためのものです。防御者はLNK実行に対する制御を強化し、外部リポジトリへのスクリプト可能なアクセスを制限する必要があります。
指標(IOCs)
- SHA256: 13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3 (Zipファイル)
- SHA256: 10bbc5e192c3d01100031634d4e93f0be4becbe0a63f3318dd353e0f318e43de (juicio-grunt-posting.pdf)
- SHA256: 6ae4222728240a566a1ca8c8873eab3b0659a28437877e4450808264848ab01e (health-check.bat)
- SHA256: 4612c90cdfb7e43b4e9afe2a37a82d8b925bab3fd3838b24ec73b0e775afdb75 (msedge_proxy.exe)
- SHA256: 37e6da4c813557f09fa2336b43c9fbb4633e562952f5113f6a6a8f3c226854eb (notas.pdf)