サイバーニュース.jp

世界のサイバーなニュースを配信

SVGファイルが悪用され、PureMinerマルウェアとデータ窃取に利用される

カテゴリ:

, , , , , , , , ,

概要:ウクライナ政府機関を狙った高度なフィッシングキャンペーン

サイバー犯罪者たちは、ウクライナ政府機関を標的とした多段階のフィッシングキャンペーンにおいて、SVGファイル(Scalable Vector Graphics)を初期攻撃ベクトルとして悪用しています。FortiGuard Labsが発見したこの洗練された攻撃は、悪意のあるSVGファイルを通じて、最終的に仮想通貨マイニングマルウェア「PureMiner」と情報窃取マルウェア「Amatera Stealer」を被害者のシステムに展開します。

攻撃の初期段階:悪意のあるSVGファイル

攻撃は、ウクライナ国家警察からの公式通知を装ったフィッシングメールから始まります。これらのメールには、法的な文言で受信者に圧力をかけるような内容が含まれており、未決の控訴や不遵守の場合の潜在的な結果について言及しています。

  • 添付されたSVGファイルは「elektronni_zapit_NPU.svg」と名付けられています。
  • このSVGファイルには、外部SVGリソースを参照するHTML iframe要素が埋め込まれています。
  • ファイルを開くと、偽のAdobe Readerインターフェースが表示され、「ドキュメントを読み込み中です…」というウクライナ語のメッセージが表示されます。
  • 同時に、被害者は自動的にパスワード保護されたアーカイブのダウンロードにリダイレクトされ、その抽出パスワードも便利に表示されます。

複雑な感染シーケンス:CHMファイルとHTAファイル

ダウンロードされたアーカイブには、コンパイル済みHTMLヘルプ(CHM)ファイルが含まれており、これが複雑な感染シーケンスを開始します。調査員はCHMファイル内に、ショートカットオブジェクトを含む悪意のあるHTMLファイルを発見しました。このショートカットオブジェクトのClickメソッドは、隠しモードでリモートのHTMLアプリケーション(HTA)リソースを実行します。

  • HTAファイルは「CountLoader」として機能し、文字列エンコーディングと配列シャッフル技術を用いて意図的に難読化されています。
  • このローダーは、リモートサーバーとの接続を確立し、被害者システムの情報を収集し、XorBase64エンコーディングを使用してHTTP POSTリクエストで送信します。
  • CountLoaderは、ファイルのダウンロード、アーカイブの抽出、DLLの実行、ドメイン偵察、アクティビティのクリーンアップなど、6つの異なるコマンドをサポートしています。

デュアルペイロードの展開:PureMinerとAmatera Stealer

PureMinerクリプトマイナー

このキャンペーンでは、ergosystem.zipアーカイブを通じて、ステルス性の高い.NETクリプトマイナーであるPureMinerが展開されます。このマルウェアは、DLLサイドローディング技術と.NET Ahead-of-Time(AOT)コンパイルを利用し、ペイロードを.rdataセクションに暗号化された形式で保存した後、プロセスホローイングを使用して正規の.NET Frameworkプロセスに復号化して注入します。

  • PureMinerは、AMD Display LibraryおよびNVIDIAライブラリのAPIを利用して、ビデオアダプターの仕様、メモリの詳細、使用状況統計を収集し、広範なハードウェア偵察を行います。
  • 展開前にシステムに少なくとも4GBのメモリがあることを確認し、構成要件に応じてCPUベースまたはGPUベースのマイニングモジュールを展開できます。
  • マルウェアは、3DES暗号化を使用してコマンド&コントロールサーバーと永続的に通信し、ダウンロードされたペイロードの実行、永続化メカニズムの削除、分析ツールの監視、アクティブなウィンドウの確認、システムアイドル状態の検出が可能です。

Amatera Stealer情報ハーベスター

同時に、smtpB.zipアーカイブは、PythonMemoryModuleプロジェクトを利用したPythonベースのローダーを通じてAmatera Stealerを配信し、ファイルレス実行を実現します。

  • この情報窃取マルウェアは、ハードコードされたミューテックス値を作成し、リモートサーバーに接続して、データ収集操作を制御するBase64エンコードされたRC4暗号化構成ファイルを取得します。
  • Amatera Stealerは、システム情報(コンピューター名、ユーザー名、オペレーティングシステム、ハードウェア仕様)、GeckoベースおよびChromiumベースのアプリケーションからのブラウザデータ、仮想通貨ウォレット拡張機能、SteamやTelegramなどのデスクトップアプリケーション、仮想通貨デスクトップウォレットなど、複数のデータカテゴリを体系的に標的とします。
  • マルウェアは、レガシーなCookie復号化や、COM API悪用およびブラウザプロセスインジェクションによるApp-Bound Encrypted(ABE)データの復号化など、最新のブラウザセキュリティを回避するための高度な技術を採用しています。

影響と対策

このキャンペーンは、SVGファイルがHTMLの代替として機能し、従来のセキュリティ対策を回避しながら感染チェーンを開始できるという、フィッシング戦術の進化を示しています。仮想通貨マイニングによるリソースハイジャックと包括的なデータ窃取の組み合わせは、攻撃者にとって二重の収益源を生み出します。

進行中の地政学的緊張下でウクライナ政府機関が標的とされていることは、このキャンペーンが国家支援または政治的動機によるものである可能性を浮き彫りにしています。

組織は、包括的なセキュリティ意識向上トレーニングを実施し、SVG添付ファイルを精査するためにメールフィルタリングシステムを更新し、ファイルレスマルウェア実行技術を特定できるエンドポイント検出ソリューションを展開する必要があります。CHMファイルやHTAアプリケーションのような正規のWindows機能の巧妙な使用と、高度な回避技術の組み合わせは、重要なデータやリソースが侵害される前に、このような複雑な攻撃チェーンを検出および防止できる多層的なセキュリティアプローチの必要性を強調しています。

侵害の痕跡(IOCs)

ドメイン / IPアドレス:

  • npulvivgov[.]cfd
  • ms-team-ping{1 to 10}[.]com
  • azure-expresscontainer{1 to 10}[.]com
  • acqua-tecnica[.]it
  • phuyufact[.]com
  • 109[.]176[.]207[.]110
  • amaprox[.]click
  • ama0899[.]shop

元記事: https://gbhackers.com/svg-files-pureminer-malware/

投稿をさらに読み込む