インド政府機関の求人応募者を狙った多段階マルウェアキャンペーンが確認されました。攻撃者は偽の内閣官房(Cabinet Secretariat)採用告知を用い、正規のリモート管理ツールと独自の遠隔操作型トロイの木馬(RAT)の両方を展開します。
SeqriteのAPT Research Teamの研究者たちは、この活動を「Operation ShadowRecruit」と名付けました。このキャンペーンはSenior Field Officer(Technical)職への応募者を標的としています。
初期の誘引としてApproved Documents 2026.pdf.zipという名前のZIPアーカイブが使用されています。Seqriteは中程度の確度で、この活動がパキスタンと関係の深いAPT36脅威グループに関連している可能性があると評価しています。
このアーカイブにはDocument.exe、Document-24062026-Y6352634.lnk、JT-agenda.ps1という3つのファイルが含まれています。デフォルトで表示されるのはLNKショートカットのみで、PowerShellスクリプトと実行ファイルには隠しファイル属性が設定されています。
攻撃者はこのショートカットに無害な文書に見せかけるため、Microsoft Edgeのアイコンを付与しました。LNKファイルは非表示・非対話モードでPowerShellを密かに起動し、JT-agendaを実行します。
このPowerShellスクリプトにはBase64でエンコードされたコマンドが含まれており、demo.controlr.appから正規のControlR Agentインストーラーをダウンロードします。
ControlRはBitboundによって署名されたリモート監視・管理(RMM)製品です。今回のケースでは、攻撃者はハードコードされた登録情報を使い、侵害したデバイスを自分たちのControlRテナントに登録していたとされています。
登録が完了すると、被害者のシステムは攻撃者側から遠隔操作できるようになり、コマンド実行やファイル転送、活動の監視が可能になります。その後スクリプトはDocument.exeを実行し、感染チェーンの次の段階に移行します。
Document.exeは32ビットの.NETドロッパーです。%APPDATA%\Microsoft\WinSyncDefender\にディレクトリを作成しますが、これはWindowsのセキュリティコンポーネントに見せかけた名称です。
このドロッパーは、最終的なRATペイロードであるagent.exeと、おとりのPDFを取得・表示するDocument.lnkという、2つの埋め込みファイルを展開します。
このRATには広範な解析対策チェックも組み込まれています。Seqriteの調査によると、BIOSデータ、WMI情報、プロセス、レジストリキー、MACアドレス、ドライバー、サンドボックスの痕跡を検査する14の仮想化検出ルーチンが確認されています。
仮想マシンやマルウェア解析環境を検出した場合、クリーンアッププロセスを起動し、自身と関連ファイルを削除します。
研究者たちは同一のサーバー上で複数の管理パネルも特定しました。ポート9000のSecureMonitor、ポート7000のPrivateRat、そしてポート8000のパスワード保護された別のパネルです。PrivateRatのインターフェースには開発者名として「HeartMelt」が記載されていました。
組織は求職者に対し、信頼できない経路で届く採用関連ファイル、特にLNKファイルを含むZIPアーカイブを開かないよう注意喚起すべきです。
セキュリティチームは、不審なPowerShellの活動、ControlRへの登録、Windows Defenderのサービスに似せたスケジュールタスク、そしてエンドポイントから発信されるGoogle Sheets API通信を監視する必要があります。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため意図的に無害化(defang、例: [.])されています。再有効化はMISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/lnk-powershell-deploys-dual-rats/