SHEETCREEPとして追跡されている高度なサイバースパイキャンペーンが、Google Sheetsを密かなコマンド&コントロール(C2)センターとして積極的に活用しています。
今年初めに初めて発見されたこのキャンペーンの新たな進化版では、外交をテーマにしたフィッシングルアーを用いて、C#製のリモートアクセス型トロイの木馬(RAT)を展開します。
Securonixの最新テレメトリによると、攻撃者は91名の被害者への侵害に成功しており、パキスタンのイスラマバードに物理的なハードウェアが存在する、高確信度のターゲットも含まれています。
セキュリティ研究者たちは、Transparent Tribeとしても知られるパキスタン寄りの脅威グループAPT36が、インドの外交・外務分野を標的としたこれらの攻撃を主導していると、中程度の確信をもって評価しています。
攻撃者たちは、従来のセキュリティ防御を回避するため、マルウェアを大幅に強化しました。
設定情報をプレーンテキストで保存していた以前のバージョンとは異なり、オペレーターは現在「discrete」というキーを用いたXORベースの暗号化ルーチンでC2設定を隠蔽しています。
こうした絶え間ない進化は、脅威アクターが静的解析から活動を隠し続けるために、公開された脅威インテリジェンスレポートにいかに素早く適応するかを浮き彫りにしています。
攻撃チェーンは、標的が「UAE・インド戦略的パートナーシップ週間」をテーマにした悪意あるISOファイルを開くことから始まります。アーカイブの中には、正規のPDFドキュメントを装った偽装LNKショートカットが仕込まれています。
このショートカットをクリックすると、隠れたC#ドロッパーが静かに実行されます。ドロッパーは被害者に囮ドキュメントを表示しながら、正規のWindows Credential Vaultディレクトリ(%LOCALAPPDATA%\Microsoft\Vault\vaultsvc.exe)にRATペイロードをひそかにインストールします。
長期的なアクセスを確保するため、ドロッパーは標準的なコマンドラインツールではなく、タスクスケジューラCOM APIを使った持続化メカニズムを実装しており、フォレンジック上の痕跡を大幅に削減しています。
「WindowsVaultSyncService」という名称のスケジュールタスクを登録し、Windows・Edge・Discordのアップデートに言及する紛らわしい説明文を付けることで、手動調査の際に目立たないよう巧妙に偽装しています。
セットアップが完了すると、ドロッパーは自身を安全に削除し、ディスク上の明白なフォレンジック痕跡を消去します。
SHEETCREEPキャンペーンの最も注目すべき特徴は、Google Sheets APIの悪用です。
従来のC2サーバーを借りる代わりに、RATは埋め込まれたGoogle Cloud Platform(GCP)サービスアカウントとRSA-2048秘密鍵を使ってGoogleに認証します。
悪意あるトラフィックはすべてGoogleの正規サーバーへの標準的なHTTPS接続を経由するため、ネットワークレベルでは通常のGoogle Workspaceのアクティビティとほぼ見分けがつかないと、Securonixは述べています。
侵害された各マシンには専用のスプレッドシートタブが割り当てられ、ユーザー名とホスト名を組み合わせた一意のハッシュで識別されます。
攻撃者はBase64エンコードされたコマンドを被害者のタブのA列に直接入力します。マルウェアはその指示を読み取り、ローカルで実行した後、エンコードされた出力をタイムスタンプとともにB列に書き込みます。
これにより、オペレーターはアラートを発生させることなく、システムデータを継続的に窃取し、任意のコマンドを実行し、ネットワーク内を横断的に移動することが可能になります。
翻訳元: https://cyberpress.org/hackers-control-victims-via-sheets/
