脅威アクターが高度なスピアフィッシングキャンペーンを駆使し、ロシアの航空宇宙・航空ネットワーク内部に密かな長期アクセスを確立していることが分かりました。
Seqriteの脅威リサーチチームが発見したこの攻撃は、著名な研究機関を装った偽の請求書を使って被害者を騙し、正規のリモートアクセスソフトウェアをインストールさせるものです。
証拠は、この活動がRare Werewolf脅威グループ(別名Librarian Ghouls)によるものであることを強く示唆しています。攻撃者はカスタムマルウェアを使わず、検知を回避するために環境寄生型(living-off-the-land)戦略を採用しています。
彼らの最終目標は、侵害したシステムを持続的に遠隔操作するため、静かにAnyDeskを展開することです。
攻撃は、連邦予算機関「VNIIR」になりすましたスピアフィッシングメールから始まります。
攻撃者は、同研究機関が使用している正規の政府ドメインではなく、使い捨ての類似ドメインを登録しました。メールの件名には、支払い請求書や供給契約に関する文言が使われています。
おとりメールを幅広く配布するため、攻撃者は宛先を「非開示の受信者」フィールドで隠しており、これは大規模な一斉送信であることを示しています。
また、標的に信頼感を与えるため、メールにはロシア産業貿易省の公式ロゴが使用されています。
セキュリティスキャナーを回避するため、攻撃者はメールにパスワード保護されたRARアーカイブを添付しています。必要なパスワードはメール本文に直接記載されており、被害者が確実に開封できるようになっています。
一方で、自動化されたメールゲートウェイはその中身を検査できません。被害者がアーカイブを展開すると、Smart Install Makerで作成された実行ファイルが起動します。
このドロッパーはおとりのPDF文書を開いて被害者の疑念を和らげつつ、その裏で複数の一時ファイルをひそかに作成します。
ドロッパーはコマンドライン技術を使って一時的なテキストファイルを作成し、それをバッチコマンドスクリプトへとリネームします。これらのスクリプトの一つが攻撃者の管理するサーバーにアクセスし、二次的な悪意あるRARファイルをダウンロードします。
続くコマンドがこの新しいアーカイブを展開すると、すべて正規のユーティリティで構成されたツールキットが姿を現します。攻撃者は従来型のマルウェアをあえて避け、通常のネットワークトラフィックに紛れ込みやすく、基本的なアンチウイルス検査を回避できるツールを選んでいます。
一定の時間を置いた後、スクリプトはAnyDeskを設定し、あらかじめ組み込まれたパスワードを与えることで無人アクセスを可能にする、とSeqriteは述べています。
AnyDeskの設定データを窃取することで、攻撃者はいつでも侵害したホストに接続できるようになります。無人アクセス、非表示ウィンドウ、スケジュールタスクの組み合わせにより、攻撃者は環境に対する完全かつ隠密な制御を手に入れます。
この手口は、これまでのRare Werewolfのキャンペーンと完全に一致しています。攻撃者は最終的に信頼されたソフトウェアを利用することで目的を達成しており、ネットワーク防御者にとって検知や駆除を格段に困難にしています。
翻訳元: https://cyberpress.org/vniir-phishing-installs-anydesk/