研究者らは、Screening Serpensとして知られるイランと関連する高度持続的脅威グループによって組織されたスパイ活動を発見した。
UNC1549などの別名で活動するこの脅威アクターは、米国、イスラエル、アラブ首長国連邦の組織に対して6種類のリモートアクセス型トロイの木馬を展開した。
これらの攻撃は中東における地域紛争と時期が重なっており、グループの技術的能力の著しい向上を示している。
Unit 42がCyber Security Newsと共有したレポートによると、攻撃はターゲットを絞ったソーシャルエンジニアリング戦術と高度な回避手法に大きく依存しているという。
新たに発見されたマルウェアファミリーはMiniUpdateおよびその進化版であるMiniJunk V2として分類されており、攻撃者に侵害された環境への広範な制御を与える。
感染経路は、テクノロジー、航空宇宙、防衛分野の専門家を標的にしたパーソナライズされたスピアフィッシングの誘導に依存している。
攻撃者は、大手航空会社を装った偽の求人票や、ビデオ会議プラットフォームの偽のソフトウェアインストール画面など、説得力のある囮ドキュメントを巧みに作成する。
これらのブランドのインフラに侵入するのではなく、脅威アクターはそのビジュアルアセットを複製し、ターゲットを悪意のあるアーカイブファイルのダウンロードへと誘導する。
被害者が一見正規に見える実行ファイルを解凍・実行すると、隠されたペイロードがバックグラウンドで密かに展開される。
同時に、疑惑を払拭するために偽のエラーメッセージが表示される。このアプローチにより、攻撃者はユーザーに即座の警戒心を抱かせることなく足がかりを確立できる。
今回の一連のキャンペーンにおける最も重要な技術的進化は、AppDomainManagerハイジャックと呼ばれる防御回避技術の採用である。
この手法は、正規の署名付き実行ファイルと並んで悪意のある設定ファイルを提供することで、Microsoft .NETアプリケーションの初期化フェーズを操作する。
メモリ内のセキュリティモニターをアンフックするための複雑なシェルコードに頼る代わりに、攻撃者はランタイム環境に対してネイティブに自身のセキュリティ機構を積極的に無効化するよう指示する。
改ざんされた設定ファイルはアプリケーションにローカルペイロードを読み込ませると同時に、エンドポイント検出・応答ソリューションが使用する主要なテレメトリソースであるEvent Tracing for Windowsを無効化する。
さらに、この設定は署名の検証を明示的にバイパスし、安全なリダイレクトを防止することで、悪意のあるコードが高い特権コンテキストで実行されることを保証する。
Paloalto Networksの調査によると、Screening Serpensは運用の耐久性を維持しターゲット間の相互汚染を避けるため、主にMicrosoft Azure上でホストされた専用ドメインを通じてコマンド・アンド・コントロールのトラフィックをルーティングしている。
これらのドメインは、医療、金融、テクノロジー分野の正規組織を装うために特別に登録されている。
MiniUpdateリモートアクセス型トロイの木馬に組み込まれたコマンドディスパッチャーは、シェルコマンドの実行、プロセス操作、動的コードのロードを可能にするオペレーションコードをサポートしている。
マルウェアの最新アップグレードにより、攻撃者は大きなファイルをより小さく目立たないチャンクに分割して外部に流出させることも可能になった。
翻訳元: https://cyberpress.org/miniupdate-rat-abuses-azure/
