サイバーニュース.jp

世界のサイバーなニュースを配信

Lunar SpiderがワンクリックでWindowsマシンを感染させ、ログイン認証情報を窃取

カテゴリ:

, , , , , , , , ,

はじめに: Lunar Spiderの巧妙な攻撃

「Lunar Spider」として知られる高度なサイバー犯罪グループが、単一の悪意あるクリックを通じてWindowsマシンを侵害し、認証情報を窃取して約2ヶ月間もの永続的なアクセスを維持していたことが明らかになりました。2024年5月に始まったこの侵入は、初期アクセスがいかに迅速にドメイン全体の侵害へとエスカレートし得るかを示す、進化する脅威の状況を浮き彫りにしています。

初期侵入とマルウェア展開

攻撃は、疑いを持たないユーザーが、正規の税務フォームを装った「FormW-9Ver-i4053b043910-86g91352u7972-6495q3.js」という名前の高度に難読化されたJavaScriptファイルを実行したことから始まりました。この悪意あるファイルは、検出システムを回避するために広範なフィラーコンテンツの中に最小限の実行可能コードを分散させていました。

JavaScriptペイロードは直ちにリモートサーバーからMSIパッケージのダウンロードをトリガーし、その後、正規のWindowsユーティリティであるrundll32を使用してBrute Ratel DLLファイルを展開しました。この多段階アプローチにより、脅威アクターはLatrodectusマルウェアをexplorer.exeプロセスに注入し、複数のCloudFlareプロキシドメインとのコマンド&コントロール(C2)通信を確立しました。

広範囲にわたる認証情報窃取

アクセス開始から1時間以内に、Latrodectusペイロードは、侵害されたシステムから認証情報を窃取するために設計された特殊な情報窃取モジュールを取得しました。このマルウェアは、Google Chrome、Microsoft Edge、Yandex Browser、Vivaldiなど、29種類のChromiumベースのブラウザを標的とする高度な機能を示しました。Firefoxは、cookies.sqliteデータベースファイルを標的とするプロファイル列挙を通じて個別に処理されました。

認証情報の窃取はブラウザに留まらず、Windowsレジストリキーを照会することで、Officeバージョン11.0-17.0のMicrosoft Outlookからのメール設定も含まれていました。窃取者は、SMTP、POP3、IMAP、NNTPサーバーアドレス、ポート番号、ユーザー名、暗号化されたパスワードを含むサーバー設定を抽出し、攻撃者に被害者の通信インフラへの包括的なアクセスを提供しました。

ドメイン管理者権限の奪取

攻撃者の執拗な活動は3日目に実を結びました。彼らは、自動展開プロセスから残された平文のドメイン管理者認証情報を含むunattend.xml Windows応答ファイルを発見しました。4日目には、脅威アクターはビーチヘッドホスト上でBackConnectを介してlsassa.exeというバイナリを展開・実行しました。この発見により、ドメイン環境への即座の特権アクセスが得られ、潜在的な影響とラテラルムーブメント能力が劇的に拡大しました。

巧妙な回避と永続化の手口

キャンペーン全体を通じて、Lunar Spiderは、explorer.exe、sihost.exe、spoolsv.exeなどの正規のWindowsプロセスへのプロセスインジェクションを含む巧妙な回避技術を採用しました。彼らは、レジストリRunキーやスケジュールされたタスクなど、複数の永続化メカニズムを確立し、システム再起動や基本的な修復試行後もアクセスが維持されるようにしました。

多層的なコマンド&コントロール

攻撃者は、Brute Ratel、Latrodectus、Cobalt Strikeビーコンを含む複数のコマンド&コントロールフレームワークを展開し、インフラとの冗長な通信チャネルを構築しました。この多層的なアプローチは、プロのサイバー犯罪組織に典型的な高度な運用セキュリティプラクティスを示しています。

長期にわたる滞留とデータ流出

驚くべきことに、脅威アクターは初期侵害後、約2ヶ月間もの間、断続的なC2アクセスを維持しました。侵入から20日目には、FTP接続を介して名前を変更したRcloneバイナリを使用してファイル共有サーバーからデータを正常に流出させ、この流出プロセスは約10時間に及びました。

長期にわたる滞留時間と重要なインフラへの包括的なアクセスにもかかわらず、この侵入中にランサムウェアの展開は観測されませんでした。これは、攻撃者が破壊的な活動よりもデータ窃取を優先したことを示唆しています。このキャンペーンは、潤沢な資金を持つサイバー犯罪グループがもたらす永続的な脅威と、堅牢なセキュリティ監視および迅速なインシデント対応能力の重要性を浮き彫りにしています。

元記事: https://gbhackers.com/lunar-spider-infected-windows-machine/

投稿をさらに読み込む