死角の逆用
サイバー攻撃者が、防御システムへの感染を隠蔽する巧妙な手口を新たに編み出しました。標的のコンピュータをわずか数秒間だけインターネットから切断するというものです。この一時的な接続断の隙に、マルウェアは次の攻撃ステージを実行します。その間、ローカルのネットワークセキュリティツールはこの動作を監視できません。
フィッシング手口の解剖
この精巧な手口は、JUMPSECのセキュリティ専門家がクライアントへの定期アセスメント中に発見しました。最初の接触は、同社のある取引先企業を狙ったフィッシングメールでした。このメールはタイ語で書かれており、一般的な財務書類を装っていました。
外部ストレージの悪用
メールには、外部のMediaFireリポジトリへ直接リンクする画像が埋め込まれていました。この手法により、自動化されたメールフィルターによる初期検知を巧みに回避しています。攻撃者は悪意あるペイロードを企業のメールインフラの外部に置くことで、疑念を抱かれにくい状況を作り出していました。
拡張子偽装の手口
ダウンロードされたファイルは、無害な文書に見せかけるよう巧妙に偽装されていました。具体的には、.pdf.scrという二重拡張子が使われていました。Windowsは認識できるファイル形式の拡張子を既定で非表示にするため、ユーザーには.pdfの部分しか見えません。そのため被害者は、この実行ファイルを無害な文書だと思い込んでしまいます。実際には、.scr拡張子は通常のプログラムと同様に動作する実行可能なスクリーンセーバーファイルを意味します。
ペイロード連鎖の解析
ダウンロードされたバイナリは、自己解凍型WinRARアーカイブとして動作しました。実行されると、アーカイブはシステム上に複数のコンポーネントを展開します。しかし、これらのファイルのほとんどは表面的なおとりに過ぎません。実際の感染シーケンスは、核となるVBScriptが担っていました。
稚拙なミス
皮肉なことに、攻撃者は驚くほど初歩的なミスを犯していました。その手口を詳しく見てみましょう。
最初のスクリプトには過剰なデッドコードと冗長な関数呼び出しが含まれていました。しかし、難読化を取り除いてみると、非常にシンプルな構造であることが判明しました。スクリプトは静的シグネチャ検出を回避するため、cmd.exeという文字列を1文字ずつ組み立てる手法を使っていました。その後、コマンドラインインターフェースを通じてシステムコマンドを直接実行します。
ネットワーク切断の仕組み
この感染チェーンの最大の特徴は、正確なネットワーク操作にあります。スクリプトはメインのペイロードを起動する前に、ipconfig /releaseコマンドを実行します。これによりローカルのネットワークインターフェースを意図的に切断します。マルウェアの初期化が完了した直後、ipconfig /renewコマンドで接続を復元する仕組みになっています。
クラウド検証の回避
この一連の動作により、現代のエンドポイントセキュリティシステムに対して短時間の「死角」が生まれます。これらのツールは通常、未知のバイナリを評価する際にクラウドのレピュテーションサービスに依存しています。最も不審な挙動が発生する瞬間、ワークステーションは完全に孤立した状態にあります。ネットワーク接続が復元されるころには、マルウェアの次のステージがすでに活動を開始しているというわけです。
AutoItによる肥大化フェーズ
初期実行に続いて、攻撃はAutoItスクリプトへとシームレスに移行します。攻撃者は本物のAutoIt3インタープリターを使用しつつ、バイナリの名前を.xls拡張子に変えていました。さらに、悪意あるスクリプトをジャンクコメントで人為的に88メガバイトまで膨らませていました。この水増し部分を取り除くと、実際のペイロードはわずか65キロバイトにまで縮小しました。
設定情報の隠蔽
スクリプトはサンドボックスや解析ツールを検出するためにローカル環境を積極的に調査します。その後、.mp3拡張子に偽装されたファイルから動作設定を読み込みます。実際にはこのファイルはINI形式の設定データを含んでいました。内部のパラメータには、永続化の仕組み、WindowsUpdateという名の自動起動レジストリキー、そしてリモートダウンロードリンクが含まれていました。
最終ペイロード:Remcosの配信
最終的なペイロードとして配信されたのは、悪名高いリモート管理ツール「Remcos」でした。サイバー犯罪者はこのソフトウェアをスパイ活動や企業の機密データ収集に日常的に使用しています。復号された設定ファイルから、専門家は具体的なコマンド&コントロール(C2)サーバのアドレスを特定しました。また、Rmc-QDZ9C5というミューテックスと、selfishというボットネット識別子も抽出されました。
帰属分析とインフラのマッピング
JUMPSECはこの悪意あるクラスターを「BlackToad」という名称で追跡しています。現時点でのアナリストの評価では、このグループはナイジェリアを拠点とする大規模なサイバー犯罪ネットワークの一部とされています。Unit 42はこの広範なエコシステムを「SilverTerrier」として長らく追跡してきました。ただし、BlackToadは独自のC2インフラと専用のパッカーを持つ独立した組織です。
冗長性による耐障害設計
C2ドメインであるpmitm.ddns.net、lordtoad.duckdns.org、toadshit.ddnsfree.comはすべて同一のIPv4アドレスに紐付けられていました。具体的には、ポート50240を使用して197.210.55.170を指していました。攻撃者はこれらのドメインを複数の異なるダイナミックDNSプロバイダーに登録しており、一つのプロバイダーがサービスを停止した場合でも継続的に運用できる高い冗長性を確保していました。
モバイル回線の悪用
インフラのテレメトリは、MTN NigeriaおよびAirtel Nigeriaといったナイジェリアのモバイルネットワークを直接示していました。また、一部のトラフィックはPfcloudとして知られるバレットプルーフホスティングプロバイダーを経由していました。アナリストは、攻撃者が通常のインフラではなくモバイル回線経由でC2サーバを運用していた可能性が高いと見ています。
広範なキャンペーンの証拠
VirusTotalを通じて発見された後続のサンプルにも、同一の拡張子偽装手法が確認されました。これらのファイルにはIMG00090878900.pdf.scrのようなものが含まれています。特筆すべき点として、あるサンプルにはファイル名にSLIPというプレフィックスが残されていました。この命名パターンから、単発的な攻撃ではなく、複数のターゲットを狙った組織的なキャンペーンであることが示唆されます。
並行する攻撃活動
さらにJUMPSECは、BlackToadの活動をBoredFluffキャンペーンとの類似性も指摘しています。BoredFluffはホスピタリティ業界の従業員を偽の予約問い合わせで標的にしていたことが、過去のセキュリティ調査で明らかになっています。インフラとおとりのテーマに見られる重複から、この関連性は十分に考えられます。ただし、ネットワーク切断という独自の手法により、BlackToadは明確に差別化されています。
防御上の戦略的示唆
このキャンペーンの最大の脅威は、Remcos自体にあるわけではありません。セキュリティチームはすでにこのツールをよく認識しています。本当の危険は、新しい配信メカニズムにあります。ネットワークユーティリティコマンドは標準的な監視ツールには全く無害に見えます。それでいて、マルウェアが最も重要な実行ウィンドウの間、悪意あるコードを確実に保護するのです。
推奨される対策
JUMPSECは、これらの侵害指標を検知した組織に対し、Remcosのシグネチャを積極的に探索するよう強く推奨しています。このマルウェアはキーストロークの記録やシステム認証情報の窃取を行います。また、クリップボードデータを監視し、不正なデータ持ち出しを可能にする機能も備えています。
翻訳元: https://meterpreter.org/blacktoad-malware-analysis/
