偽の請求書PDFを隠れ蓑にして複数のリモートアクセス型トロイの木馬を配信する巧妙なフィッシングキャンペーンが確認されました。主にAsyncRATを配布しますが、多層のショートカットを介してVenomRATやXWormも送り込んでいます。
攻撃にはTryCloudflareのクイックトンネルや、偽装されたPythonパッケージが使われています。このキャンペーンは8月にX-Labsが分析した攻撃を彷彿とさせるもので、攻撃者が正規インフラを悪用して配信成功率を高め、検知を回避する傾向が強まるとした同社の「2025年フューチャーインサイト」の予測を裏付ける内容となっています。
攻撃はDropboxのURLを記載したフィッシングメールから始まり、そのURLはZIPアーカイブを指しています。被害者がアーカイブをダウンロードして開くと、TryCloudflareトンネルを参照するインターネットショートカット(.URL)が見つかります。
このトンネルは.LNKファイルをホストしており、実行するとPowerShellが起動し、同じTryCloudflareの一時アドレスから難読化されたJavaScriptファイルを取得します。
難読化を解除されたJavaScriptは、さらに強く難読化された.BATファイルを取得します。実際の処理を担うのはこのBATスクリプトで、Invoke-WebRequestを使って大きなZIPファイル(ma.zip)をダウンロードします。このZIPには正規のPythonパッケージらしきものが含まれており、展開後にデコイの請求書PDFを既定のブラウザで開きます。
ma.zipパッケージ内のファイルの大半は通常のPython実行環境を模していますが、分析の結果、実際に悪意ある処理を担っているのはload.pyと5つの.binファイルであることが判明しています。load.pyはbase64で難読化されており、デコードするとctypesライブラリを使ってVirtualAlloc、RtlMoveMemory、CreateThread、WaitForSingleObjectといった低レベルのWindows APIを呼び出し、実行可能メモリを確保し、シェルコードをコピーして実行用のスレッドを作成します。

GBhackersと共有されたレポートの中でForcepoint X-Labsは、不審なTryCloudflare経由で配信される悪意あるペイロードを利用する、別のAsyncRATマルウェアキャンペーンを特定したと述べています。
アンチウイルスとマルウェア
フィッシングキャンペーンで使われる偽の請求書PDF
このキャンペーンでは、Early Bird APCキュー・プロセスインジェクションという手法が使われています。これは新しい正規プロセスを作成し、そのメインスレッドが実行される前にシェルコードを注入する手法で、プロセス初期化の非常に早い段階で悪意あるコードを実行することで、一部のAV/EDRのフックを回避できます。

各.binファイルには異なるRAT用のシェルコードが格納されています。ほとんどはAsyncRATをexplorer.exeに注入しますが、payload.binはVenomRATをnotepad.exeに展開し、xr.binはXWormを注入します。
注入後、実装されたインプラントは異なるポート(例:62.60.190.141:3232や:4056)を経由して同一のコマンド&コントロール(C2)インフラに接続し、リモート制御、データ窃取、さらなる横展開を可能にします。
ZIP→.URL→.LNK→.JS→.BAT→ma.zip→load.py+.binという多段階のチェーンは、正規のクラウドサービス、多層の難読化、プロセスレベルのステルス性を組み合わせることで、疑念や検知を回避しています。
デコイPDFの使用はソーシャルエンジニアリングの要となっています。悪意あるペイロードが裏で静かに展開される一方、被害者には無害な請求書が表示され、何も問題がないと思い込んでしまうのです。
防御担当者はいくつかの実用的な兆候と対策に注意する必要があります。受信リンク内でのTryCloudflareやその他のクイックトンネルドメインの異常な使用を監視・ブロックし、ZIP内に.URL/.LNKファイルやスクリプトが含まれるダウンロードにフラグを立て、アーカイブを展開・実行するInvoke-WebRequest呼び出しがないかPowerShellコマンドを検査してください。
エンドポイント制御では、Early Birdインジェクションのパターンや、前述のWindows APIを介したメモリインジェクションを検知できるようにすべきです。また、アプリケーション制御やスクリプトブロッキングの強化により、チェーン内のスクリプトおよびBAT段階の実行を防止できます。
最後に、ユーザー向けのトレーニングでは、予期しない請求書メールに対する警戒心を強化し、検証なしにアーカイブの中身を開かないよう促す必要があります。
Forcepointの今回の調査結果は、同社の以前の分析(Forcepoint X-Labsの元記事を参照)をさらに発展させたものであり、攻撃者が低コストで正規のホスティング・トンネリングサービスを悪用し続け、キャンペーンの継続性を高めていくという根強い傾向を裏付けています。
IOC(侵害指標)
| 種別 | 値 |
|---|---|
| URL | hxxps[:]//inventory-card-thumbzilla-ip[.]trycloudflare[.]com/DE/ |
| URL | hxxps[.]//mercy-synopsis-notify-motels[.]trycloudflare[.]com/ma[.]zip |
| URL | hxxp[:]//sufficiently-points-est-minimize[.]trycloudflare[.]com/ma[.]zip |
| C2 IP | 62.60.190.141 |
| C2 IP | 62.60.190.196 |
| ZIPハッシュ | 55724b766dd1fe8bf9dd4cb7094b83b88d57d945 |
| URLハッシュ | 4483561a49791a7cd684258e9f1623fe7dfba772 |
| LNKハッシュ | 0aa1b8fba8d7bd19a0064edfdf86c027da253644 |
| JSハッシュ | 659ecdeb19b8e49be61fe41e8796d1215272b16e |
| BATハッシュ | cd61de9e4003ba568ae76f064935addb106a6d6d |
| ZIPハッシュ | 0221ec304905a758d9b47d6a631622b7dcf3c1f5 |
| PYハッシュ | 4747ee49bdf31351c025049d8c3b7fef831be77c |
| BINハッシュ | 8ef36a4865f4a73a4e8fe4b90e5eff4a7feb3647 |
| BINハッシュ | ae1dece09c2b627d8d3fe1c1f758db9ca6d5820c |
| BINハッシュ | 8dc9071a46a019547c8355a155d9c3c3b154e7a2 |
| BINハッシュ | 098c369c904e8c328df40062190aff009e02d369 |
| BINハッシュ | ff6186eef1c17a2668c6013d38fecead4f507556 |
注: IPアドレスとドメインは意図的に無効化されています(例: [.])。誤ってアクセスやハイパーリンク化されることを防ぐためです。再有効化はMISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://gbhackers.com/phishing-campaign-uses-fake-invoice-pdf/