概要:巧妙なVishing攻撃が拡大中
Microsoft TeamsとQuick Assistを悪用した新たなフィッシング(vishing)キャンペーンが確認されました。この攻撃は、ソーシャルエンジニアリングと正規のMicrosoftツールを組み合わせることで、多段階の.NETマルウェアを
セキュリティ研究者によると、この攻撃はIT部門のなりすましから始まり、最終的にメモリベースのリフレクション技術を通じてマルウェアが実行されるとのことです。
感染経路:TeamsとQuick Assistの悪用
感染シーケンスは、脅威アクターがMicrosoft Teamsの通話通知で表示名を偽装し、正規のITスタッフになりすますことから始まります。被害者は、正当な社内ITサポート担当者と思われる人物からの予期せぬ電話を受け取ります。
攻撃者は、巧妙に作られたソーシャルエンジニアリングの手口を用いて、被害者にWindowsに組み込まれている正規のリモートアシスタンスツールであるWindows Quick Assistを起動させます。被害者がQuick Assistを起動すると、攻撃者は技術サポートを提供するふりをしてリモートアクセス権を獲得します。
この足場を確立してから約10分以内に、ユーザーはciscocyber[.]com/verify.phpでホストされている悪意のあるウェブページにリダイレクトされます。この段階は、攻撃者がソーシャルエンジニアリングから技術的悪用へと移行する重要な転換点となります。
マルウェアの展開と実行:高度な回避技術
リダイレクトされると、「updater.exe」という、正規のWindowsシステムアップデーターを装ったトロイの木馬化された実行ファイルが展開されます。この実行ファイルは、.NET Core 8.0ラッパーとして構築されており、従来のディスクベースの永続化なしで実行されるように設計された組み込みローダーコンポーネントを含んでいます。
「loader.dll」コンポーネントは、多段階のペイロード配信メカニズムを調整します。実行されると、jysync[.]infoでホストされているコマンド&コントロール(C2)インフラストラクチャと通信して、暗号化キーを取得します。この分離されたキー管理アプローチは、検出と分析を困難にします。
その後、ローダーは同じインフラストラクチャから暗号化されたペイロードを取得し、AES-CBC暗号化とXOR難読化を組み合わせて復号化します。この二重層技術は、静的分析に対する追加の障壁を提供します。
攻撃チェーンの最終段階では、.NETリフレクション機能を悪用して、復号化されたアセンブリをディスクに書き込むことなく、実行中のプロセスメモリに直接ロードします。このファイルレス実行手法は、ファイル監視やディスクベースの侵害インジケーターに依存する従来のエンドポイント検出システムではこの活動を捕捉できないため、重要な回避技術となります。マルウェアは、初期のQuick Assistセッションを起動したユーザーの権限で、完全にメモリ内で任意のコードを実行します。
セキュリティ上の影響と対策
このキャンペーンは、ソーシャルエンジニアリング、正規の管理ツールの悪用、および高度なファイルレス実行技術といった複数の攻撃ベクトルの融合を示しています。Microsoft TeamsやQuick Assistのような一般的に信頼されているアプリケーションを使用することで、ユーザーの不信感を大幅に低下させ、多くのネットワークレベルのセキュリティ制御を迂回します。
組織は、なりすまし攻撃を検出するためにメールおよび通信監視システムを導入し、厳格なリモートアシスタンスポリシーを徹底し、システムアクセスを許可する前にITサポート担当者の身元を確認するようユーザーを教育する必要があります。
ネットワーク環境でこのようなファイルレスマルウェアの実行を検出するには、.NETランタイムアクティビティおよびプロセスメモリインジェクションパターンを監視できるエンドポイント検出および対応(EDR)ソリューションが不可欠です。