出典: RGR Collection via Alamy Stock Photo
“Librarian Ghouls” として知られる高度持続的脅威(APT)グループによる新たに発見されたサイバーキャンペーンが、ロシアの組織を標的にして、機密データを盗み、被害者のシステムに暗号通貨マイナーを展開するために夜間のステルス攻撃を行っています。
カスペルスキーの研究者によると、このキャンペーンを追跡している、初期感染ベクターは、実行可能なペイロードを含むパスワード保護されたアーカイブファイルを運ぶ標的型フィッシングメールを含みます。
不気味なサイバーケーパー
メールは信頼できる組織からの正当な通信のように見え、添付ファイルは支払い命令のPDFのような公式文書として偽装されています。感染チェーンは、受信者が通常メール自体に含まれるパスワードを使用してアーカイブファイルを開き、同封されたファイルを抽出して実行することで始まります。ペイロードには、被害者のシステムを現地時間の午前1時に自動的に起動し、攻撃者が午前5時に沈黙するまでの4時間の間にリモートアクセスを許可する機能が含まれています。
現在のキャンペーンを12月に開始して以来、この脅威アクターは、主にロシアの産業組織や工学学校を対象に、この初期感染ベクターを通じて数百の被害者を侵害してきました。ベラルーシやカザフスタンでも若干の被害が報告されています。
関連:‘PathWiper’ 攻撃がウクライナの重要インフラを襲う
研究者によると、新しいキャンペーンが注目に値するのは、Librarian Ghoul がカスタムマルウェアではなく、リモートアクセスツール、アーカイバ、SMTPユーティリティなどの正当なサードパーティソフトウェアを戦略的に使用していることです。目的は、検出と帰属を困難にすることです。
「すべての悪意のある機能は、インストーラー、コマンド、PowerShellスクリプトに依存しています」とカスペルスキーは今週のブログで述べています。「攻撃者が戦術を継続的に洗練していることを観察しています。データの流出だけでなく、リモートアクセスツールの展開やメールアカウントの侵害のためのフィッシングサイトの使用も含まれています。」
Librarian Ghouls(別名Rare WerewolfおよびRezet)は、カスペルスキーが以前に報告した、ロシアの複数のセクターの企業を標的にしているグループです。ターゲットには、研究所の設計および開発作業を行う組織、ロケット、航空、宇宙セクターの企業、石油化学、ガス処理、防衛産業の組織が含まれています。その他のターゲットには、自動車部品メーカー、半導体メーカー、自動制御システムのオペレーターが含まれます。
Librarian Ghoulsの正当なサードパーティツールとLiving off the land(LotL)戦術への依存は、ハクティビストグループが使用するアプローチを思い起こさせますが、特定の国家や加害者に活動を帰属させていません。
関連:攻撃者がRubyパッケージを偽装してTelegramの機密データを盗む
Librarian Ghoulsの感染チェーン
感染チェーンの観点から、被害者がアーカイブファイルを開くと、Windows用のSmart Install Makerユーティリティで構築された自己解凍インストーラーが被害者のシステムに展開されます。主要なペイロードはインストーラーの設定ファイルにあり、4t Tray Minimizerという正当なWindowsユーティリティを展開し、アプリケーションをシステムトレイに最小化し、この場合は悪意のあるプロセスを隠します。
rezet.cmdという名前の悪意のあるバッチファイルがリモートのコマンドアンドコントロール(C2)サーバーと通信し、AnyDeskのリモートアクセス機能、SMTPを介したメール流出のためのBlat、Windows Defenderを無効にするためのDefender Control、PowerShellウェイクスクリプトなど、6つの正当なアプリを侵害されたシステムにダウンロードします。
別の悪意のあるバッチスクリプト(bat.bat)がPowerShellを介して自動ウェイクアップタスクを設定し、Windows Defenderを無効にし、午前5時にシステムをシャットダウンするためのスケジュールタスクを作成する正当なユーティリティを実行します。悪意のあるペイロードはデータを2つの別々のアーカイブにパックし、SMTPを介して攻撃者のC2サーバーに送信します。最後に、バッチスクリプトはXMRig暗号マイナーを被害者のシステムに展開し、それを管理し、システム上で持続させるためのコンポーネントをインストールし、その後自分自身を削除します。
関連:Trickbot、Contiランサムウェアオペレーターが大規模なオペレーションリークの中で暴露される
カスペルスキーは、Librarian Ghoulsが攻撃で他にもいくつかの正当なツールを展開していることを観察しました。これには、被害者のシステムを監視するためのDLPシステムであるMipko Personal Monitor、WebBrowserPassViewと呼ばれるパスワード回復ユーティリティ、オペレーティングシステム関連のタスクを容易にするためのNirCmdが含まれます。
Librarian Ghoulsは、正当なサードパーティツールとLotL戦術を攻撃で使用することにおいて決して孤立していません。しかし、カスタムマルウェアを完全に排除することで、LotLアプローチの効果を示しています。これは、検出トリガーやエンドポイント検出システムを回避するのに役立ちます。Librarian Ghoulsのようなグループが使用している多くのツールは、管理者によっても一般的に使用されているため、防御者にとって悪意のある活動と無害な活動を区別することがより困難になります。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/librarian-ghouls-cyberattackers-strike