世界的に著名な大手証券取引所の上級幹部が最近、機密通信を密かに窃取することを目的とした、高度に標的を絞った5か月間にわたるスパイキャンペーンの被害に遭いました。
脅威アクターは企業ネットワーク内を横断移動することなく、その幹部のMicrosoft Outlookメールボックスのみに絞って攻撃を展開しました。
この一点集中のアプローチにより、攻撃者は対外交渉の内容、市場を動かすイベントの情報、幹部の日常スケジュールなど、豊富なインテリジェンスを入手しました。
2025年10月から2026年初頭にかけてメールアカウントに潜伏し続けた攻撃者は、組織の戦略的方向性について包括的な全体像を構築しました。
初期感染経路は依然として不明ですが、研究者らは2025年10月10日に初めて悪意のある活動を観測しました。
この時点で攻撃者はすでにローカル権限昇格を達成しており、2つの偽装バイナリをSYSTEM権限で実行していました。1つ目のバイナリは、正規のAdobe Acrobat Readerアップデートサービスを装っていました。
2つ目はローカルのOneDriveセットアップフォルダ内に偽装していました。攻撃者は「Microsoft Adobe」を連想させる欺瞞的な名称で5分間隔のスケジュールタスクを登録することで持続的なアクセスを維持し、ホストマシン上での検出を長期間にわたって回避し続けました。
このキャンペーンの主要な武器は、OutlookデータのパースにCreatedされる正規の商用.NETライブラリ「Aspose」を基盤に構築された、カスタムメールボックス窃取ツールでした。
攻撃者はこのライブラリをスタンドアロンの実行ファイルとして組み込み、幹部のOffline Storage Table(OST)ファイルをPersonal Storage Table(PST)形式に変換する仕組みを構築しました。
大量データ転送によるセキュリティアラートの発生を避けるため、マルウェアはメールを小さな増分データチャンクに分割して抽出しました。
攻撃者は定期的に窃取ツールのファイル名を一時的な拡張子に変更し、繰り返し実行することで、盗み出した通信データのほぼ途切れないフローを維持しました。
データ窃取にあたって、このスパイグループは通常のネットワークトラフィックに紛れ込むため、正規のクラウドインフラを活用しました。
DropboxのAPIを多用し、永続的なアプリケーションを稼働させながら、セッションごとの認証コードのみを入れ替えることで、盗み出したメールアーカイブをアップロードしました。
2025年11月下旬からは、OneDrive Personalを使用した第2の窃取チャネルも導入しました。
DNSベースのブロッキングやペリメターロギングを回避するため、標準のホスト名ではなくハードコードされたMicrosoftのIPアドレスを直接使用してOneDriveにアクセスしていました。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://cyberpress.org/executive-outlook-credentials-targeted/
