攻撃者、航空宇宙業界を狙ったフィッシングキャンペーンでBlat SMTPを使いAnyDesk設定データを窃取

標的型スピアフィッシングキャンペーンが確認されました。このキャンペーンは、AnyDeskをサイレントかつ永続的なリモートアクセス用に設定し、Blat SMTPユーティリティを使ってその設定情報を窃取するものです。

このキャンペーンでは、航空宇宙分野をテーマにした請求書を偽装の餌として使用しています。新規登録されたなりすましドメイン(vniir-avia.space)を通じてロシアの研究機関VNIIRを騙り、パスワード保護された圧縮ファイルを送りつけます。このファイルを開くと、多段階のドロッパーおよび侵害後の攻撃チェーンが起動します。

分析の結果、攻撃者の狙いは長期的かつ隠密なアクセス経路を確立することにあるとみられます。具体的には、ポータブル版AnyDeskを展開し、無人アクセス用パスワードを設定した上で、AnyDeskの設定情報と認証情報関連のファイルをアーカイブ化し、攻撃者が管理するメールインフラへ送信するという手口です。

最初に送りつけられるメールは、件名を「счет на оплату」とし、[email protected]から送信されます。メール本文にはパスワード保護されたRARアーカイブが添付されており、そのパスワードもメール本文に記載されています。これはメールセキュリティのスキャンを回避するための意図的な手口です。

ドロッパーはおとり用のPDFファイルを実行し、echoリダイレクトを利用して一連の.cmdファイルを作成した後、コマンド&コントロール(C2)のエンドポイントに接続し、悪意あるRARファイルをダウンロードします。このRARファイルには、ポータブル版AnyDesk、Blat(blat.exe)、Tray Minimizer、および補助スクリプトが含まれています。

ファイル展開後、攻撃者が用意したバッチスクリプトはping応答を利用した待機処理で実行を少し遅らせた後、AnyDeskのCLIを呼び出してあらかじめ定めたパスワードを設定し、無人アクセスを有効化します。続いてポータブル版AnyDeskを%ProgramData%\AnyDesk配下に展開し、起動します。

Seqrite脅威リサーチチームは、正規の業務請求書を装った標的型スピアフィッシングキャンペーンを確認しました。このフィッシングメールは、航空宇宙・航空システムに関連するロシアの正規研究機関を騙るものです。

Image

このスクリプトはさらに、AnyDeskのservice.conf、system.conf、クライアント識別子、ログ、証明書をパスワード保護されたAnyDesk.rarにパッケージ化し、Blatを使ってこのアーカイブを外部に送信します。

航空宇宙業界を狙ったフィッシングキャンペーンにおけるSMTP悪用

ネットワークキャプチャの解析により、mail.versio.nlを経由したSMTPによる情報窃取が確認されています。送信元は[email protected]、送信先は[email protected]で、件名は「AnyDesk %COMPUTERNAME%/%USERNAME%」という形式になっており、被害者を一意に識別できるようになっています。

抽出された実行ファイルはDelphiでコンパイルされ、Smart Install Makerでパッケージ化されています。このファイルは一時フォルダ配下に複数のコンポーネントを展開し、追加ペイロードの取得・展開・実行を統括するバッチスクリプトを実行します。

Image

永続化のため、このキャンペーンは「Auto apdate」という名前のスケジュールタスクを登録します。このタスクはログオン時に昇格権限でTrays.exe -trayを実行し、フォレンジック分析を妨げるために一時的なファイルを削除します。

観測された手口は環境寄生型(LotL)の攻撃手法と一致しています。正規のユーティリティ(AnyDesk、Blat、WinRAR/driver.exe、4t Tray Minimizer)を悪用することで、活動を通常のシステム動作に紛れ込ませ、検知を回避しています。

攻撃者は独自に作成したバイナリを配布するのではなく、正規のアプリケーション一式をそのままアーカイブに同梱しています。これにより、開発コストを最小限に抑えながらリモートアクセスと隠蔽を両立させています。

Image

これまでの公開報告によれば、航空宇宙をテーマにした偽装の餌、請求書を装ったスピアフィッシング、パスワード保護されたアーカイブ、そしてAnyDesk/Blatの利用という一連のパターンは、Rare Werewolf(別名Librarian Ghouls)と呼ばれるクラスターと関連付けられています。このクラスターは以前から、ロシア、ベラルーシ、カザフスタンにまたがる産業、航空宇宙、エンジニアリング、エネルギー分野の組織を標的にしてきました。

今回の痕跡だけで攻撃主体を断定することはできませんが、2025年に確認されたRare Werewolfキャンペーンとの手口の重なりはかなり大きいといえます。

防御策としては、悪用されているツールとキャンペーンのパターンの検知・遮断を中心に据えるべきです。パスワード保護された添付ファイルについては厳格な検査を徹底してください。

ProgramData配下での不正なAnyDeskインストールおよび設定ファイルの作成を監視し、Blatの使用やエンドポイントから一般的でないメールリレーへの外向きSMTPセッションについてアラートを設定してください。

AnyDeskとTray Minimizerに対してアプリケーションのアローリスト(許可リスト)を導入し、リモートツールに対して多要素認証と条件付きアクセスを必須化するとともに、なりすましドメインの成功率を下げるためにメールドメイン検証とDMARCの適用を強化してください。

エンドポイントのテレメトリとスケジュールタスクの監視により、「Auto apdate」という永続化の痕跡を検知しやすくなります。

侵害指標(IOC) 

種別
Hash 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4
Hash 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33
Hash F57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae
Hash 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0
IP 198.54.120[.]13
IP 194.87.57[.]81
IP 2.23.88[.]201
IP 109.106.178.14
Domain aviatronika[.]online
Domain vniir-avia[.]space
Domain fgub-vniir[.]space
Domain vniir-info[.]space
Domain nova-stream[.]site

注記: IPアドレスとドメインは、誤ってアクセスされたりハイパーリンク化されたりするのを防ぐため、意図的に無害化(例: [.])して表記しています。実際のアドレスに戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://gbhackers.com/smtp-in-aerospace-phishing-campaign/

ソース: gbhackers.com