企業幹部を狙う巧妙な二段階攻撃
企業幹部を標的とした新たな高度なフィッシングキャンペーンが確認されました。この攻撃は、認証情報の窃取と情報窃取型マルウェアの展開を組み合わせた二段構えの手法です。Trustwave MailMarshalのサイバーセキュリティ研究者によって特定された「エグゼクティブ・アワード」詐欺は、認証情報の収集と高度なマルウェア展開を組み合わせることで、ソーシャルエンジニアリング戦術の進化を示しています。
「エグゼクティブ・アワード」を装ったフィッシングの手口
このキャンペーンは、「Cartier Recognition Program」を装った巧妙なフィッシングメールから始まります。このメールは、被害者に「役員表彰」を提示し、正当に見えるようにパーソナライズされた詳細を含むパスワード保護されたZIPファイルが添付されています。受信者には、賞品を受け取るために添付の「安全なデジタルパッケージ」を開くよう促されます。この初期の誘引は、二段階攻撃シーケンスへの入り口となります。最初の段階では、「Virtual-Gift-Card-Claim.html」という単独のHTMLフィッシングページが展開され、被害者自身のドメインのウェブメールログインインターフェースを偽装します。疑うことを知らない幹部が認証情報を入力すると、その情報は直ちにTelegramのコマンド&コントロール(C2)チャネルに流出し、攻撃者は企業メールアカウント、さらには広範なネットワークへの即時アクセス権を得ることができます。
ClickFix技術によるStealeriumマルウェアの配布
第二段階では、「ClickFix」として知られる欺瞞的な技術を悪用し、Stealerium情報窃取マルウェアをインストールします。被害者は「account-verification-form.svg」という悪意のあるSVGファイルに遭遇します。これは、「Aw, Snap! Something went wrong.」(「あれ、エラーが発生しました」)という偽のGoogle Chromeエラーメッセージを表示します。この詐欺的なエラーは、ブラウザのトラブルシューティングメッセージに対するユーザーの信頼を悪用するソーシャルエンジニアリングの手法であり、PowerShellの「修正」コマンドを実行するよう指示します。被害者が提案されたコマンドを実行すると、彼らは知らず知らずのうちに、複数のローダー段階を経てStealeriumをダウンロードしインストールする高度なPowerShellチェーンをトリガーします。このClickFixアプローチは、単純な画像ダウンロードをユーザー主導のコード実行へと変え、自動マルウェアインストールを検出する可能性のある従来のセキュリティ制御を回避します。
Stealeriumマルウェアの機能と攻撃インフラ
Stealeriumは、感染したマシンからブラウザのパスワード、暗号通貨ウォレット、システム情報、その他の機密データを収集できるオープンソースの情報窃取マルウェアです。窃取された情報は攻撃者によって制御されるサーバーに送信され、サイバー犯罪者は被害者の包括的なプロファイルと、金融口座への潜在的なアクセス権を得ることができます。研究者たちは、CMDスクリプト、HTAファイル、実行可能ファイル、DLL、PowerShellスクリプト、バッチファイルなど、さまざまなペイロード段階を提供する複数のエンドポイントをホストするIPアドレス 31.57.147.77 を中心とした攻撃インフラを特定しました。このキャンペーンでは、フィッシングで得た認証情報の流出用とStealeriumデータ用の2つの異なるTelegramボットチャネルを使用しており、分割された運用セキュリティアプローチが示されています。
組織のための保護推奨事項
Stealeriumのコマンド&コントロールサーバーは、感染システムと攻撃者インフラ間の通信を保護するために、ハードコードされた暗号化キー「StealeriumC2SecretKey123」を使用しています。アプリケーションのホワイトリスト化とPowerShellの実行制限を実装することで、たとえユーザーがソーシャルエンジニアリングによって攻撃を試みさせられたとしても、ClickFix技術が成功するのを防ぐことができます。組織は、この脅威に対して多層防御を実装すべきです。
- メールセキュリティフィルターは、特にパスワード保護されたアーカイブやHTMLファイルなど、疑わしい添付ファイルを検出するように設定する必要があります。
- 従業員向けのセキュリティ意識向上トレーニングでは、身に覚えのない賞品や認証情報窃取の試みにおける危険信号を強調すべきです。
- セキュリティチームは、悪意のあるファイルハッシュや攻撃者のIPインフラを含む、特定された侵害の痕跡(IoC)をブロックする必要があります。