イランと関連するAPTグループ「Nimbus Manticore」(別名:UNC1549)による、高度なマルウェアキャンペーンが確認されています。この脅威グループは、精巧に作り込まれたフィッシングの手口を用いて、防衛・航空宇宙関連組織を積極的に狙っています。
攻撃者は正規のクラウドインフラを悪用し、信頼されたアプリケーションを操作して検出を回避しながら、独自のデータ窃取インプラントを展開します。攻撃の起点はLinkedInで、プロのヘッドハンターを装って標的にコンタクトを取ります。
標的を引き込む手法として、実在する企業「Ebix」での年収20万ドル相当のポジションなど、魅力的な求人案件を提示します。ターゲットには信頼性を演出するため、著者情報が付記されたブランドロゴ入りのPDF形式の求人票が送付されます。
興味を持った標的は、Cloudflareの背後に設置された偽の採用ポータルへ誘導されます。このポータルでは認証が求められ、「セキュリティ対策」として二要素認証(2FA)用のZIPアーカイブをダウンロードするよう促されます。
このアーカイブは感染チェーンを起動する仕掛けとなっており、被疑者に悟られないよう、完全に動作する2FAパスワードジェネレーターを表示します。
ダウンロードされたZIPファイルには、名称を変更したMicrosoft Visual Studioのコンポーネントと並んで、悪意のあるペイロードが隠されています。攻撃者は「AppDomainハイジャック」と呼ばれる手法を用いてアプリケーションの設定ファイルを改ざんし、正規のMicrosoftバイナリが本来の依存コンポーネントではなく悪意あるステージャーを読み込むよう細工します。最初に実行されるファイルはMicrosoftの署名付きであるため、標準的なセキュリティ検知を容易にすり抜けてしまいます。
Nextronの調査によると、このステージャーはAES暗号化されたペイロードを復号し、ユーザーのローミングアプリケーションデータディレクトリに展開します。
マルウェアはログオンのたびに実行される「BackupCheck」という名称のスケジュールタスクを作成することで持続化を図ります。このネイティブインプラントは、静的解析を妨害しリバースエンジニアリングを困難にするため、制御フローの難読化を徹底的に施しています。最終的にはMicrosoft Azure上でホストされているC2(コマンド&コントロール)サーバーへ接続し、悪意あるトラフィックを正規の企業クラウド通信に紛れ込ませます。
組織はこの脅威に対し、具体的な緩和策の実施と特定の指標の監視によって防御を強化できます。
主な緩和策と侵害の痕跡(IOC):
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的にデファング処理(例:[.])が施されています。リファング(無害化解除)は、MISP・VirusTotal・SIEMなど管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。
翻訳元: https://cyberpress.org/nimbus-manticore-malware-campaign-2/