最近、パキスタンのパンジャブ安全都市局(PSCA)とPPIC3の従業員を標的とした洗練された複数段階のフィッシングキャンペーンが実施されました。
Joe Sandboxのセキュリティ研究者がこの攻撃を分析した結果、正規の開発者ツールを大きく悪用したユニークな戦略が明らかになりました。
カスタムマルウェアに頼る代わりに、攻撃者はVisual Studio(VS)CodeとDiscord webhookを使用して、リモートアクセスを確立し、データを流出させました。
攻撃者は「Safe Jail Project」について議論する社内コンサルタントになりすまし、槍付きフィッシングメールを送信しました。CAD図面や内部レイアウトなどの非常に具体的な用語を使用することで、メールは標的にとって完全に正当に見えました。
最初の添付ファイルである「CAD Reprot.doc」という名前のMicrosoft Wordドキュメントには、隠された悪意あるマクロが含まれていました。
被害者がドキュメントを開くと、マクロはVisual Studio Codeコマンドラインの実行可能ファイルをシステムの一時フォルダに自動的にダウンロードしました。
この実行可能ファイルはMicrosoftデバイスコード認証フローを開始しました。その後、マクロは生成された認可コードをキャプチャし、攻撃者が管理するDiscord webhookに送信して、感染状況を監視しました。
この技術は、従来の認証情報収集攻撃からの巧妙なシフトを表しています。
パスワードを引き渡すよう被害者をだます代わりに、攻撃者は自分のMicrosoftアカウントを使用して、侵害されたマシンをVS Code Remote Tunnelsワークフローに登録しました。
このセットアップにより、脅威アクターは統合ターミナルをインタラクティブなバックドアとして使用できました。彼らは永続的なリモートアクセスを維持し、マシン上で直接マルウェアを開発し、正規の開発者トラフィックに簡単に混ぜることができました。
特定のレジストリ値を追加することで、攻撃者は被害者がコンピュータにログインするたびに、悪意あるトンネルが自動的に実行されることを保証しました。
2番目の添付ファイルは「ANPR Reprot.pdf」という名前のPDFファイルで、背景がぼやけた偽のAdobe Readerの更新プロンプトが表示されていました。
更新ボタンをクリックすると、共有コンテンツ配信ネットワークでホストされているClickOnceデプロイメントマニフェストがトリガーされました。ClickOnceはWindowsアプリケーションをシームレスにデプロイするためのMicrosoft技術です。
この特定のマニフェストは、正規のAdobeファイルに変装した悪意あるNETアプリケーションをダウンロードしてインストールしようとしました。
Joe Securityの調査によると、ChromeやFirefoxなどの最新ブラウザはClickOnceファイルを最初にダウンロードすることで安全に処理しますが、古いレガシーブラウザはそれらを異なる方法で処理します。
これにより、攻撃者が参照されたペイロードを直接実行するために悪用できる脆弱性が生じます。最終的なペイロードはサーバーの閉鎖により分析が不可能でした。
ただし、このメカニズムは、同じキャンペーンに組み込まれた危険な並行配信パスを強調しています。
セキュリティチームと脅威分析者は、このフィッシングキャンペーンに関連する以下のアーティファクトとハッシュについて、その環境を監視する必要があります。
注: IPアドレスとドメインは、誤った解決またはハイパーリンクを防ぐために意図的に無効化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再度有効にしてください。
翻訳元: https://cyberpress.org/dragon-whistle-targets-university/