チェコ共和国と台湾の政府関係者および市民を標的とした、高度に絞り込まれたスピアフィッシングキャンペーンが確認されています。
中国との関連が疑われる脅威アクターによるものとされており、チェコの社会保障予約通知や台湾のプロジェクト審査フォームなど、公式文書を模したおとりドキュメントが使用されています。
攻撃はZIPファイルの添付から始まり、その中には高度なポストエクスプロイテーションのペイロードを密かに展開する、体系立てられた感染チェーンが仕込まれています。
感染経路には2つの初期デリバリー手法があります。1つ目の手法では、PDFに偽装した悪意のあるショートカットファイルを使用し、VBScriptとPowerShellのチェーンを静かに実行します。
2つ目の手法では、必要なコンポーネントをすべて自動的にドロップする、自己完結型のRust実行ファイルが使用されます。
両手法はいずれも、RuntimeBroker_update.exeというファイルをドロップする点で共通しており、このファイルはDLLサイドローディングを悪用してUnityPlayer.dllという悪意のあるファイルを実行します。このファイルには、RUSTCLOAKと呼ばれる独自のRustベースのローダーが含まれています。
主要な機能を実行する前に、RUSTCLOAKは解析を回避するため、100100以上の既知のサンドボックス環境リストと感染マシンを照合します。
システムが安全であると確認されると、ローダーは最終ペイロードを展開するために3層の復号プロセスを開始します。このシーケンスには、独自のRC4復号、Base64デコード、そして最後のSM4-CBC復号が含まれています。
検出をさらに回避するため、RUSTCLOAKは従来のスレッド生成を完全に迂回します。その代わりに、Windowsファイバーを使用してメモリを割り当て、復号したシェルコードをコピーします。
この手法により、ローダーは最終ペイロードをディスクに書き込むことなく、約103103KBの組み込み実行ファイルへの実行移行をインメモリで完結させることができます。
Seqriteの調査によると、AZUREVEILはAdaptix C2エージェントを大幅に改変したものであり、3636種類の異なるポストエクスプロイテーションコマンドを実行する能力を持っています。
これにより攻撃者は感染システムを広範囲にわたって制御でき、ファイルシステム操作、プロセス操作、横断的移動、そしてBeacon Object Files(BOF)のインメモリ実行が可能になります。
AZUREVEILは従来のC2サーバーに依存せず、Microsoft Azure Blob Storageを通信に悪用します。
このマルウェアはデッドドロップ手法を採用しており、攻撃者と感染システムが直接やり取りすることはありません。例えば、AZUREVEILエージェントは自身の活動を知らせるために、暗号化された小さなビーコンを定期的に共有Azureコンテナへアップロードします。
攻撃者はその同じコンテナに暗号化されたコマンドを配置し、エージェントがそれを取得・実行して結果を返す仕組みになっています。
トラフィックが標準的なHTTPSを通じて正規のMicrosoftインフラを経由するため、企業ネットワーク上の通常の通信に容易に紛れ込むことができます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、またはSIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、refang処理を行ってください。
翻訳元: https://cyberpress.org/azureveil-spearphishing-delivers-c2/