サイバーセキュリティ研究者らが、履歴書をテーマにしたLNKショートカットファイルを使って企業環境を標的とする新たなマルウェアキャンペーンを発見しました。
脅威アクターは、悪意のあるショートカットを求人応募書類に偽装しており、ファイル名には標的企業の名称と関連する職種名を盛り込んでいます。
不審に思わない従業員がファイルを開くと、一見本物らしい履歴書のデコイ文書が表示される一方、バックグラウンドでは複雑な感染チェーンが静かに起動します。
この攻撃の最終目的は Xctdoorバックドアの展開であり、攻撃者は侵害したシステムへの持続的な不正アクセスを確立します。
人事部門や営業部門、顧客対応部門は外部から届く文書を頻繁に扱うため、このソーシャルエンジニアリング手法は組織のセキュリティに対して重大なリスクをもたらします。
Windowsはデフォルトでファイル拡張子を非表示にするため、悪意のあるショートカットをPDFやWordファイルと見誤ってしまうことが非常に起こりやすい状況になっています。
攻撃は、被害者が悪意のあるLNKファイルを実行するところから始まります。このファイルは通常、標的企業名と職種名を含む形式で作成されています。疑念を抱かせないよう、ファイルを開くと同時に通常のデコイ文書が画面に表示されます。
しかしその裏では、LNKファイルがパブリックのビデオフォルダ内にランダムな名前のバッチファイルと PowerShellスクリプトおよびVBScriptをひそかに生成します。ドロップされたPowerShellスクリプトは、「office365」という紛らわしい名前のスケジュールタスクを登録します。
このタスクは10分ごとにVBScriptを実行するよう設定されており、システムが再起動されたりセキュリティソフトが実行中のプロセスを終了させたりしても、マルウェアが動作し続けるようになっています。
VBScriptはバッチファイルを実行し、バッチファイルはOSの標準コマンドラインツールを利用してリモートサーバーから追加の暗号化されたペイロードをダウンロードします。
ダウンロードされたこれらのエンコードファイルはデコードされ、パブリックの画像フォルダに新しいPowerShellスクリプトとして保存されます。
この第二のスクリプトが最終ペイロードを復号し、正規のMicrosoft実行ファイル、「ProximityCommon.dll」という名の悪意のあるDLL、そしてバックドアとして機能する暗号化されたデータファイルをドロップします。
最終ペイロードを実行するにあたり、マルウェアは DLLサイドローディングと呼ばれる手法を用いて、デジタル署名済みの正規プログラムに悪意のあるコードを実行させます。
Windowsのスタートアップフォルダに新たに作成されたショートカットが正規の実行ファイルを起動し、その実行ファイルが悪意のあるDLLを読み込む仕組みです。
このDLLはXctdoorバックドアのペイロードを正規のプロセスにインジェクトし、攻撃者のコマンド&コントロール(C2)サーバーと安全に通信します。攻撃全体は意図的な多段階シーケンスで進行します。
まず履歴書を装った悪意のあるショートカットが実行され、デコイ文書を表示させると同時に、隠しスクリプトの生成とタスクスケジューラを利用した永続化が静かに行われます。
足がかりを確立した後、マルウェアは外部サーバーから第二のペイロードをダウンロードして復号します。
最終段階では、正規の実行ファイルを利用したDLLサイドローディングが実行され、Xctdoorバックドアのインジェクションが完了します。
アンラボ(AhnLab)の調査によると、攻撃者はソーシャルエンジニアリングと正規のシステムツールを組み合わせて使用しています。この攻撃は多層的な欺瞞に大きく依存しており、一般ユーザーが自分のマシンが侵害されたと気づくことは非常に困難です。
組織は、特定の侵害インジケーター(IoC)を積極的に探索し、悪意のあるアーティファクトを即座に除去することで、ネットワークを保護することができます。
注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンクが発生しないよう意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/resume-lures-deliver-xctdoor/
