概要
ハッカーがDOCX、RTF、JavaScript、PowerShell、Pythonを使用して、Boeingの調達を装う巧妙なスピアフィッシングキャンペーンでCobalt Strikeビーコンを配布しています。このキャンペーンは6つの段階からなり、多くの「living-off-the-land」バイナリに依存し、すべてのサンプルで同じ暗号化キーを使用することで、攻撃者のエイビゲーションと防御者にとって明確な機会を作り出しています。
キャンペーンの詳細
このキャンペーンは、特定のRFQ(リクエスト・フォー・クォート)メールを送信して開始されます。これらのメールは「Joyce Malave from Boeing」や「Global Services, LLC」といった名前を使用し、高額な注文と「最良の価格」を約束することで受取人を誘導します。
攻撃チェーン
- DOCXファイル: DOCXファイルは標準のOOXML ZIPコンテナとして表示されますが、WordのaFChunk機能を使用してRTFを埋め込み、正常なRFQの背後に本当のペイロードを隠します。
- RTFファイル: RTFファイルは非常に大きく、数メガバイトに達し、{*\svb}グループ内にヘックスエンコードされたコンテンツを持っています。このヘックスブロブは別のOOXML構造になり、OLEオブジェクトを含みます。
- JavaScript: OLEオブジェクトから複数のJavaScriptドロッパーが回収され、「license.js」やその他の変種があります。これらのスクリプトはWMIのWin32_Processを使用して次のステージを静かに起動します。
- Powershell: JavaScriptはPowerShellをBase64エンコードされたコマンドで呼び出し、TLS証明書検証を無効化するなど、いくつかのエイビゲーション戦術を使用します。
- ZIPファイル: ZIPファイルはFilemail.comサブドメインからダウンロードされ、「.mp3」ファイル名で誤解を招く形で提供されます。実際にはPythonペイロードが含まれています。
PythonランタイムとDLLのローディング
ZIPファイルはユーザーのローミングプロファイルに展開され、Python 3.12 x64ランタイムを含みます。このランタイムには「license.pdf」という偽のPDFファイルがあり、実際には暗号化されたDLLブロブです。
防御者の対策
キャンペーンはいくつかの防御的な足場を提供しています:
- 不適切にクリーンアップされたドキュメントメタデータ
- 5年前のRFQテンプレートが再利用されていること
- NKFZ5966PURCHASEタグが一貫していること
- 固定の暗号化キーを使用していること
- Filemailインフラストラクチャを頻繁に使用していること
防御者は、DOCX aFChunk埋め込みRTFコンテンツの検出や大規模なRTFのデータチェックなどを行うべきです。