「Operation Dragon Whistle」と呼ばれる最近のフィッシングキャンペーンは、サイバー攻撃における進化した傾向を浮き彫りにしています。脅威行為者が正規の開発ツールやクラウドサービスを悪用して、ステルス性と永続性を維持しているのです。
当初は長沙大学などの学術環境を標的としていますが、新しい分析によると、パキスタンのパンジャブセーフシティオーソリティ(PSCA)とPPIC3を含む政府関連組織を狙ったより広範なキャンペーンと重なる戦術が使用されていることが明らかになりました。
安全刑務所イニシアチブなどの進行中のプロジェクトに言及しており、CAD設計と自動ナンバープレート認識システムなどの技術用語を含んでいます。このレベルの詳細性は事前偵察を示唆しており、ユーザーインタラクションの可能性を高めています。
メールには、異なる感染チェーンを開始するように設計された2つの添付ファイルが含まれており、BunnyCDNドメインでホストされている同じ攻撃者管理インフラストラクチャに依存しています。
最初の添付ファイルは「CAD Reprot.doc」というタイトルの悪意あるWordドキュメントで、埋め込みVBAマクロが含まれています。開くと、マクロが自動的に実行され、「code.exe」という実行可能ファイルをシステムの一時ディレクトリにダウンロードします。
攻撃者は従来のマルウェアを展開する代わりに、Visual Studio Codeのコマンドラインインターフェースを利用しています。マクロはVS Code Remote Tunnelsを通じてMicrosoftデバイス認証フローを開始するコマンドを実行します。
これはデバイス認可コードを生成します。通常はセキュアなログインに使用されますが、このキャンペーンでは、コードがシステム出力からキャプチャされ、攻撃者が管理するDiscordウェブフックに流出させられます。
Joe Securityによると、この攻撃は内部コンサルタントになりすましたよく考えられた標的型フィッシングメールで始まります。緊急性や恐怖に依存する典型的なフィッシング試行と異なり、このメッセージは日常的な内部通信を模倣しています。
この手法は認証情報フィッシングからデバイス登録への転換を表しています。ユーザー名とパスワードを盗む代わりに、攻撃者はキャプチャした認可コードを使用して、被害者のマシン上で自分のMicrosoftアカウントを認証します。
これは実質的に侵害されたシステムを攻撃者のVS Code環境にリンクさせ、正規のMicrosoftサービスを通じたリモートアクセスを可能にします。
Operation Dragon Whistle
さらなる分析により、永続性は従来のWindowsサービスではなく、レジストリ修正を通じて実現されることが示されています。
VS Code CLIはMicrosoftデバイス認可コードを生成し、ユーザーにMicrosoftデバイスログインページを訪問するよう促しました。
レジストリキーは現在のユーザーのrun パスの下に追加され、ユーザーがログインするたびにVS Codeトンネルが起動されることが保証されます。一旦アクティブになると、トンネルはターミナルアクセスとファイル操作を含む完全なリモート操作を可能にし、すべて暗号化された信頼できる通信チャネル内で行われます。
2番目の添付ファイル「ANPR Reprot.pdf」は異なるアプローチに従っています。偽のAdobe Reader更新プロンプトを表示し、ユーザーをClickOnceデプロイメントファイルのダウンロードにリダイレクトします。
このファイルはAdobeブランディングで偽装されており、.NETベースのペイロードをインストールするように設計されています。サーバーがブロックされているため最終的なペイロードを回復することはできませんでしたが、分析は追加の悪意あるコンポーネントを実行することが意図されていたことを示唆しています。
ClickOnceの使用は特に注目に値します。Internet ExplorerまたはEdge互換性モードがまだ使用されている従来のエンタープライズ環境を悪用しているためです。
VS Codeクライアントおよび「Remote – Tunnels」拡張機能。テストMicrosoftアカウントでサインインした後、Microsoftを使用してサインインする拡張機能に権限を付与しました。
これらの環境は自動的にそのようなデプロイメントマニフェストを処理する可能性があり、正常な実行の可能性を高めます。
このキャンペーンを重要にしているのは、カスタムマルウェアではなくVisual Studio CodeやDiscordなどの正規ツールへの依存です。攻撃者は悪意のある活動を信頼されたサービスと組み合わせることで、検出を減らし、多くの従来のセキュリティ制御をバイパスします。
このキャンペーンは、組み込みまたは広く信頼されているアプリケーションが武器化される「ランディング・オフ・ザ・ランド」技術への明らかな転換も示しています。
この操作は、組織が疑わしいファイルだけでなく、正規ツールの異常な使用を監視する必要があることを強調しています。
セキュリティチームは、VS Codeの異常なアクティビティ、予期しないデバイス認証フロー、およびDiscordなどのプラットフォームへの予期しない接続に密接に注意を払う必要があります。従来のマルウェアがない場合でも、これらは侵害を示す可能性があります。
翻訳元: https://gbhackers.com/operation-dragon-whistle/
