TokyoBlackHatNews

gbhackers.com 4分で読了

偽の税務評価ページがWindowsマルウェアを拡散

ハッカーたちはTAX#TRIDENTとして追跡されるキャンペーンで、偽のインド所得税評価ページを使ってWindowsユーザーを積極的に標的にしています。

このキャンペーンは、緊急性を作り出すために設計された不正な税務評価またはペナルティページから始まります。被害者はダウンロードするように促されます。これは公式の文書に見えますが、しばしばZIPアーカイブとしてパッケージされています。

一度開かれると、アーカイブには正当なインストーラーに偽装された署名付き実行ファイルが含まれています。このペイロード(一般的にClientSetupと呼ばれる)はシステムに隠されたクライアント環境をインストールし、サービスとドライバーを使用して永続化を作成し、攻撃者が制御するサーバーとの継続的な通信を開始します。

TAX#TRIDENTが注目に値する理由は、その柔軟な配信アプローチです。あるインフェクションチェーンでは、ユーザーはzyisykm.shopなどのドメインからZIPファイルをダウンロードし、これはClientSetupペイロードの実行に直接つながります。

別のバリエーションでは、攻撃者はAssessment_Order.vbsという名前のVBScriptファイルを使用します。このスクリプトはバックグラウンドで静かに実行され、デコイとして偽の税務文書画像を表示し、ユーザーの疑いを避けながら同じClientSetupマルウェアをダウンロードします。

異なるファイル名と配信方法にもかかわらず、両方のパスは最終的に同じハッシュを持つ同一のマルウェアを配置し、攻撃者がエントリポイントを変更しながらペイロードを再利用する方法を示しています。

Securonix脅威研究チームはGBhackersと共有したレポートで述べているところによると、TAX#TRIDENTは、Windowsエンドポイントに到達するための3つの配信パスを使用するアクティブな偽のインド所得税テーマのキャンペーンを追跡しています。

3番目のインフェクションチェーンは異なる技術を導入します。ClientSetupを配信する代わりに、攻撃者は実際にはVBScriptコンテンツを提供するPHP風のURLを使用します。

Image

このスクリプトはクラウドストレージから追加のペイロードをダウンロードし、ユーザーアカウント制御の設定を変更してセキュリティプロンプトを削減し、正当だが悪用されたManageEngine UEMSエージェントをインストールします。

偽の税務評価ページ

このエージェントは静かに攻撃者インフラストラクチャに接続するように設定され、実質的に感染したマシンをリモート管理エンドポイントに変えます。

この操作は説得力のある税務関連のおとりを使用して被害者に悪意のあるファイルをダウンロードさせようとしていますが、その本当の強みは、同じテーマを維持しながら複数のインフェクションパス経由でマルウェアを配信する方法にあります。

「評価順序のダウンロード」ボタンをクリックすると、「Assessment Letter.zip」ファイルがダウンロードされます。

Image

インストールされると、ClientSetupマルウェアはWindowsシステムパスの下に隠されたディレクトリを作成し、MANCサービス、偽のsvchost.exeプロセス、YTSysConfig.iniなどの構成ファイルなどのコンポーネントを配置します。

また、6671、6681、6683などのポートを使用して、コマンド&コントロールサーバーとの複数の通信チャネルを確立します。

これらのチャネルは、システム登録、コマンド実行、データ転送などのタスクを処理します。例えば、感染したマシンはホスト名とIPアドレスなどのシステムの詳細をサーバーに送信し、その後、一意の識別子とさらなる指示を受け取ります。

Image

このキャンペーンはまた、正当で署名されたソフトウェアの悪用を強調しています。ClientSetupペイロードはSyncFutureやYangtuソフトウェアなどの中国の商用ツールへのリンクを示していますが、研究者は注意してこれは特定の脅威アクターへの帰属を確認するものではないと述べています。

代わりに、攻撃者が既存のエンタープライズツールを悪意のある目的で活用していることを示しています。

同様に、あるインフェクションチェーンで署名されたManageEngineエージェントを使用することは、許可されていない方法でインストールされた場合、信頼できるソフトウェアがどのように兵器化されるかを示しています。

TAX#TRIDENTは、モダンな脅威キャンペーンがコアのおとりを変更せずに進化する方法の例です。

単一のファイルまたはドメインに依存する代わりに、攻撃者は配信方法、ファイル名、インフラストラクチャを循環させます。これにより、ハッシュまたは署名のみに基づく従来の検出方法の効果が低くなります。

セキュリティチームは、異常な出所からのスクリプト実行、誤解を招くファイル拡張子、予期しないサービス作成、未知のサーバーへのアウトバウンド接続などの行動指標に焦点を当てることをお勧めします。

パブリックドキュメントやシステムパスなどのディレクトリでの疑わしいアクティビティを監視することも、感染を早期に特定するのに役立ちます。

全体的に、このキャンペーンは、シンプルで信じられるような税務テーマのおとりが複数の攻撃パスをサポートでき、最終的に攻撃者に侵害されたシステムへの永続的なアクセスと制御を与える方法を示しています。

翻訳元: https://gbhackers.com/fake-tax-assessment-pages/

ソース: gbhackers.com
#VBScript #Windowsセキュリティ #インドサイバー攻撃 #データ盗取 #トロイの木馬 #フィッシング #ペイロード配信 #マルウェア #リモート管理 #税務詐欺

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚