フィッシングキャンペーン、偽の請求書PDFを使ってAsyncRAT・VenomRAT・XWormを送り込む

偽の請求書PDFを隠れ蓑にして複数のリモートアクセス型トロイの木馬を配信する巧妙なフィッシングキャンペーンが確認されました。主にAsyncRATを配布しますが、多層のショートカットを介してVenomRATやXWormも送り込んでいます。

攻撃にはTryCloudflareのクイックトンネルや、偽装されたPythonパッケージが使われています。このキャンペーンは8月にX-Labsが分析した攻撃を彷彿とさせるもので、攻撃者が正規インフラを悪用して配信成功率を高め、検知を回避する傾向が強まるとした同社の「2025年フューチャーインサイト」の予測を裏付ける内容となっています。

攻撃はDropboxのURLを記載したフィッシングメールから始まり、そのURLはZIPアーカイブを指しています。被害者がアーカイブをダウンロードして開くと、TryCloudflareトンネルを参照するインターネットショートカット(.URL)が見つかります。

このトンネルは.LNKファイルをホストしており、実行するとPowerShellが起動し、同じTryCloudflareの一時アドレスから難読化されたJavaScriptファイルを取得します。

難読化を解除されたJavaScriptは、さらに強く難読化された.BATファイルを取得します。実際の処理を担うのはこのBATスクリプトで、Invoke-WebRequestを使って大きなZIPファイル(ma.zip)をダウンロードします。このZIPには正規のPythonパッケージらしきものが含まれており、展開後にデコイの請求書PDFを既定のブラウザで開きます。

ma.zipパッケージ内のファイルの大半は通常のPython実行環境を模していますが、分析の結果、実際に悪意ある処理を担っているのはload.pyと5つの.binファイルであることが判明しています。load.pyはbase64で難読化されており、デコードするとctypesライブラリを使ってVirtualAlloc、RtlMoveMemory、CreateThread、WaitForSingleObjectといった低レベルのWindows APIを呼び出し、実行可能メモリを確保し、シェルコードをコピーして実行用のスレッドを作成します。

Image

GBhackersと共有されたレポートの中でForcepoint X-Labsは、不審なTryCloudflare経由で配信される悪意あるペイロードを利用する、別のAsyncRATマルウェアキャンペーンを特定したと述べています。

アンチウイルスとマルウェア

フィッシングキャンペーンで使われる偽の請求書PDF

このキャンペーンでは、Early Bird APCキュー・プロセスインジェクションという手法が使われています。これは新しい正規プロセスを作成し、そのメインスレッドが実行される前にシェルコードを注入する手法で、プロセス初期化の非常に早い段階で悪意あるコードを実行することで、一部のAV/EDRのフックを回避できます。

Image

各.binファイルには異なるRAT用のシェルコードが格納されています。ほとんどはAsyncRATをexplorer.exeに注入しますが、payload.binはVenomRATをnotepad.exeに展開し、xr.binはXWormを注入します。

注入後、実装されたインプラントは異なるポート(例:62.60.190.141:3232や:4056)を経由して同一のコマンド&コントロール(C2)インフラに接続し、リモート制御、データ窃取、さらなる横展開を可能にします。

ZIP→.URL→.LNK→.JS→.BAT→ma.zip→load.py+.binという多段階のチェーンは、正規のクラウドサービス、多層の難読化、プロセスレベルのステルス性を組み合わせることで、疑念や検知を回避しています。

デコイPDFの使用はソーシャルエンジニアリングの要となっています。悪意あるペイロードが裏で静かに展開される一方、被害者には無害な請求書が表示され、何も問題がないと思い込んでしまうのです。

防御担当者はいくつかの実用的な兆候と対策に注意する必要があります。受信リンク内でのTryCloudflareやその他のクイックトンネルドメインの異常な使用を監視・ブロックし、ZIP内に.URL/.LNKファイルやスクリプトが含まれるダウンロードにフラグを立て、アーカイブを展開・実行するInvoke-WebRequest呼び出しがないかPowerShellコマンドを検査してください。

エンドポイント制御では、Early Birdインジェクションのパターンや、前述のWindows APIを介したメモリインジェクションを検知できるようにすべきです。また、アプリケーション制御やスクリプトブロッキングの強化により、チェーン内のスクリプトおよびBAT段階の実行を防止できます。

最後に、ユーザー向けのトレーニングでは、予期しない請求書メールに対する警戒心を強化し、検証なしにアーカイブの中身を開かないよう促す必要があります。

Forcepointの今回の調査結果は、同社の以前の分析(Forcepoint X-Labsの元記事を参照)をさらに発展させたものであり、攻撃者が低コストで正規のホスティング・トンネリングサービスを悪用し続け、キャンペーンの継続性を高めていくという根強い傾向を裏付けています。

IOC(侵害指標)

種別
URL hxxps[:]//inventory-card-thumbzilla-ip[.]trycloudflare[.]com/DE/
URL hxxps[.]//mercy-synopsis-notify-motels[.]trycloudflare[.]com/ma[.]zip
URL hxxp[:]//sufficiently-points-est-minimize[.]trycloudflare[.]com/ma[.]zip
C2 IP 62.60.190.141
C2 IP 62.60.190.196
ZIPハッシュ 55724b766dd1fe8bf9dd4cb7094b83b88d57d945
URLハッシュ 4483561a49791a7cd684258e9f1623fe7dfba772
LNKハッシュ 0aa1b8fba8d7bd19a0064edfdf86c027da253644
JSハッシュ 659ecdeb19b8e49be61fe41e8796d1215272b16e
BATハッシュ cd61de9e4003ba568ae76f064935addb106a6d6d
ZIPハッシュ 0221ec304905a758d9b47d6a631622b7dcf3c1f5
PYハッシュ 4747ee49bdf31351c025049d8c3b7fef831be77c
BINハッシュ 8ef36a4865f4a73a4e8fe4b90e5eff4a7feb3647
BINハッシュ ae1dece09c2b627d8d3fe1c1f758db9ca6d5820c
BINハッシュ 8dc9071a46a019547c8355a155d9c3c3b154e7a2
BINハッシュ 098c369c904e8c328df40062190aff009e02d369
BINハッシュ ff6186eef1c17a2668c6013d38fecead4f507556

注: IPアドレスとドメインは意図的に無効化されています(例: [.])。誤ってアクセスやハイパーリンク化されることを防ぐためです。再有効化はMISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://gbhackers.com/phishing-campaign-uses-fake-invoice-pdf/

ソース: gbhackers.com