サイバーニュース.jp

世界のサイバーなニュースを配信

PhantomCaptcha RAT、武器化されたPDFと偽Cloudflare CAPTCHAページでマルウェアを配信

カテゴリ:

, , , , , , , , ,

概要

2025年10月8日に開始された「PhantomCaptcha」キャンペーンは、ウクライナの戦争救援活動に従事する人道支援組織を標的とした高度なスピアフィッシング攻撃です。攻撃者は、武器化されたPDFと偽のCloudflare CAPTCHAページを利用して、カスタムのリモートアクセス型トロイの木馬(RAT)を配信しました。

標的と攻撃の初期段階

このキャンペーンは、国際赤十字委員会、国連児童基金(UNICEF)ウクライナ事務所、ノルウェー難民評議会、欧州評議会のウクライナ損害登録簿の個々のメンバーを具体的に標的にしました。また、ドネツク、ドニプロペトロウシク、ポルタヴァ、ミコライウスク地域のウクライナ政府機関も、正規の政府文書を装った悪意のある通信を受け取りました。

SentinelLABSとウクライナのデジタルセキュリティ研究所がこの協調攻撃を明らかにし、ウクライナ大統領府を偽装して重要な援助組織を侵害しようとしました。

攻撃者は、ウクライナ大統領府を装った電子メールを通じて、8ページの武器化されたPDF(SHA-256: e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3)を配布しました。VirusTotalへの提出により、この悪意のあるファイルがウクライナ、インド、イタリア、スロバキアを含む複数の国からアップロードされたことが判明し、広範な標的設定と潜在的な被害者とのやり取りが示唆されました。

マルウェア配信メカニズム

PDFに埋め込まれたリンクは、被害者をzoomconference[.]appというドメインに誘導しました。これは正規のZoomサイトを装っていましたが、実際にはロシア所有のインフラプロバイダーKVMKA上のVPSサーバーをホストしていました。研究者たちは、この悪意のあるドメインがフィンランドにあるIPアドレス193.233.23[.]81に解決され、わずか1日しか稼働していなかったことを発見しました。これは、高度な運用セキュリティを示しています。

このキャンペーンでは、2024年半ばから普及している「ClickFix」または「Paste and Run」ソーシャルエンジニアリング手法のバリエーションが採用されました。偽のZoomサイトにアクセスした後、被害者は説得力のある偽のCloudflare DDoS保護ゲートウェイに遭遇し、攻撃者のサーバーへのWebSocket接続を確立しようとしました。

被害者がシミュレートされたreCAPTCHAの「私はロボットではありません」チェックボックスをクリックすると、ポップアップが表示され、ウクライナ語でトークンをコピーし、Windows + Rを押して「ファイル名を指定して実行」ダイアログを開き、コマンドを貼り付けるように指示されました。この手法は、被害者自身が悪意のあるコードを実行したため、悪意のあるファイルを検出することに焦点を当てた従来のエンドポイントセキュリティ制御を回避する上で特に効果的でした。

マルウェアの多段階配信

マルウェアの配信は、3つの異なる段階で行われました。

  • 最初の段階では、500KBを超える高度に難読化されたPowerShellスクリプトが、システム偵察を実行する第2段階のペイロードをダウンロードしました。このペイロードは、コンピューター名、ドメイン情報、ユーザー名、システムUUIDを収集しました。
  • 収集されたデータは、ハードコードされたキーを使用してXOR暗号化され、コマンド&コントロール(C2)サーバーに送信されました。
  • 最終的なペイロードは、軽量なPowerShellバックドアを展開し、wss://bsnowcommunications[.]com:80への永続的なWebSocket接続を確立しました。このWebSocketベースのRATは、侵害されたシステム上で任意のリモートコマンド実行データ窃取、および追加マルウェアの展開を可能にしました。

拡大するインフラとモバイル脅威

分析により、攻撃者は2025年3月にインフラの準備を開始し、最も初期に関連するドメインgoodhillsenterprise[.]comが3月27日に登録されたことが明らかになりました。SSL証明書は9月に発行され、おとりPDFの内部タイムスタンプは2025年8月に遡りますが、10月の攻撃直前に更新されました。

インフラの転換により、ウクライナのビジネスをテーマにした偽のAndroidアプリケーションを特徴とする追加のモバイル攻撃ベクトルが発見されました。この悪意のあるAPKは、連絡先、通話履歴、インストールされているアプリケーション、位置情報、ギャラリー画像、ネットワーク情報を含む広範なデバイスデータを収集し、すべてをハードコードされたコマンド&コントロールサーバーに送信しました。

関連性と結論

SentinelLABSは、キャンペーンで観察された戦術、技術、手順に基づいて、ロシアのFSB関連の脅威クラスターであるCOLDRIVERとの潜在的な重複を特定しました。

ユーザーに面したドメインがオフラインになった後も、bsnowcommunications[.]comのバックエンドコマンド&コントロールインフラはアクティブなままでした。これは、発見からコアインフラを保護しながら、すでに侵害されたシステムへのアクセスを維持するように設計された、分割された運用を示しています。

元記事: https://gbhackers.com/phantomcaptcha-rat/

投稿をさらに読み込む