ハッカーたちは、偽の配信ページを使用してリモートアクセスマルウェアをインストールすることで、Adobe Document Cloudへの信頼を積極的に悪用しています。
このキャンペーンは「RatPressto」と呼ばれる高度なフィッシングキットを活用しており、検出を回避しながら金融機関を標的にするために、侵害されたWordPressサイトと正規のソフトウェアを悪用しています。
攻撃は、標準的な企業文書通知を装ったフィッシングメールから始まります。被害者は、サイズや機密性の制約により安全なファイルがAdobe Document Cloudにアップロードされたと主張するメッセージを受け取ります。「ファイルを表示」リンクをクリックすると、偽のAdobeテーマのページをホストする侵害されたウェブサイトへ誘導されます。
添付ファイルに依存する従来のフィッシングとは異なり、RatPresstoは段階的なウェブベースの配信システムを使用します。ページには説得力のある「ダウンロード完了」メッセージが表示され、すでにファイルが取得されたという錯覚を生み出します。裏では、隠しiframeがユーザーの気づかないうちに悪意あるペイロードをひそかにダウンロードします。
このペイロードは通常、リモートアクセス型トロイの木馬として転用された正規のリモートアクセスツールであるScreenConnectをインストールします。展開されると、攻撃者は感染したシステムへの持続的なアクセスを獲得し、データの窃取やさらなる侵害が可能になります。
FIREがGBhackersと共有したレポートで述べているように、研究者たちはこのフィッシングキットがキャンペーン全体で高度に再利用可能かつ一貫性があることを確認しました。侵害された複数のWordPressサイトが、被害者固有のファイル名のみが異なるほぼ同一のフィッシングページをホストしていました。
攻撃者はまた、検出を減らすために正規のサービスに大きく依存しています。GitHubはペイロードのステージングに使用され、ScreenConnectは通常の企業トラフィックに溶け込む署名済みバイナリを提供します。このアプローチにより、悪意ある活動を正規の管理業務と区別することが難しくなります。
このキャンペーンで悪用された注目すべき弱点は、WordPressのセキュリティ不備です。侵害された多くのサイトが公開アクセス可能な管理パネルを露出しており、攻撃者が認証情報を入手したか、脆弱なプラグインを悪用してフィッシングコンテンツを直接アップロードしたことが示唆されます。
偽のAdobe Document Cloudページ
RatPresstoキャンペーンは、構造化された感染プロセスに従います。フィッシングリンクをクリックすると、被害者は偽のAdobeインターフェースをホストする侵害されたWordPressページにリダイレクトされます。
隠しiframeが自動的なマルウェアダウンロードをトリガーし、多くの場合MSIインストーラー、スクリプト、または実行ファイルを配信します。
場合によっては、攻撃者が管理するGitHubリポジトリから追加のペイロードが取得されます。マルウェアはその後、ユーザーへのプロンプトを回避するシステムコマンドを使用してScreenConnectをひそかにインストールします。
有効化されると、感染したシステムは攻撃者が管理するインフラストラクチャに接続し、完全なリモートコントロールが可能になります。
例えば、偽の文書通知を受け取った金融機関の従業員がそのツールを知らないうちにインストールし、攻撃者がアラートをトリガーすることなく活動の監視、認証情報の取得、および内部システムへのアクセスを可能にしてしまう可能性があります。
このキャンペーンは高度な運用成熟度を示しています。研究者たちは、再利用されたHTML構造、Adobeのブランド要素、隠しiframeの配信メカニズムを含む、展開全体にわたる一貫したアーティファクトを特定しました。被害者固有のペイロード命名は、信頼性とターゲティング精度をさらに高めます。
IPフィルタリング、モバイルデバイス検出、Cloudflareテレメトリ追跡などの追加機能は、分析を回避し、被害者のインタラクションを監視する取り組みを示しています。
インフラストラクチャ分析はブラジルとの関連を示唆しており、ホスティングとドメインパターンはサンパウロを拠点とした活動を指していますが、帰属は中程度の確信度にとどまっています。
ScreenConnectのような正規ツールの使用と、侵害されたインフラストラクチャおよびソーシャルエンジニアリングの組み合わせは、現代のサイバー攻撃における広範なトレンドを反映しています。
カスタムマルウェアを開発する代わりに、攻撃者はますます信頼されたソフトウェアと再利用可能なフィッシングキットに依存して、規模を拡大し防御を回避しています。
セキュリティチームは、リモートアクセスツールの異常な使用を監視し、WordPressの管理インターフェースを保護し、文書ベースのフィッシング誘導についてユーザーを教育することが推奨されます。
侵害の痕跡(IOC)
| カテゴリ | 指標 |
|---|---|
| ドメイン | cloud.zistopstoabetterlife.com |
| ドメイン | iconclinic.ae |
| ドメイン | ampliawifi.com |
| ドメイン | gaheempreendimentos.com |
| ドメイン | vetcarebd.xyz |
| ドメイン | nabellacouture.com |
| ドメイン | birexo.icu |
| ドメイン | abpmed.com |
| ドメイン | c3po3090.com.br |
| インフラストラクチャIP | 84.32.41.64 |
| インフラストラクチャIP | 177.154.191.148 |
| ファイルアーティファクト | ScreenConnect.ClientSetup.msi |
| ファイルアーティファクト | microsoftceo.exe |
| ファイルアーティファクト | ceo.msi |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例: [.])。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://gbhackers.com/fake-adobe-document-cloud-pages/
