フェイクTTFファイルが拡散するステルス型マルウェア、世界規模のフィッシングキャンペーンで確認

攻撃者はTrueTypeフォントファイルを装ったLuaベースのマルウェアローダーを使用し、多層難読化とファイルレス実行によってスティーラーや持続型トロイの木馬を展開していたことが判明しました。

脅威アクターが、通常のフォントファイルを悪用して検出回避性の高いマルウェアを配布し、Windowsシステムから認証情報を窃取した上で持続的なアクセスを確立するケースが確認されています。

Fortinet傘下のFortiGuard Labsによる新たな調査によると、世界規模のフィッシングキャンペーンでは、大幅に難読化されたJavaScriptと、TrueTypeフォント(TTF)ファイルを装ったLuaベースのローダーが実際に使用されており、セキュリティ対策を回避してRATや情報窃取型マルウェアを展開していることが分かりました。

TTFファイルとは、オペレーティングシステムやアプリケーションがテキストを表示する際に使用する標準的なフォントファイルです。

このキャンペーンでは、少なくとも2026年3月下旬以降、Agent Tesla、Remcos、XWorm、そしてSnake Keyloggerの亜種であるBest Private LOGGERといったマルウェアファミリーが展開されてきました。FortiGuardの研究者はブログ投稿で、「これらの攻撃において、脅威アクターは複数の著名企業になりすまし、ビジネス提携を装ってフィッシング攻撃を仕掛けています」と述べています。

新たな攻撃手法が依然として従来型のフィッシング手口に依存していることについて、Keeper SecurityのCISOであるShane Barney氏は次のように語っています。「世界で最も高度な技術的回避策であっても、始まり方は同じです。誰かが信頼できそうな企業からのメールを開き、そこに書かれた指示に従って行動してしまうのです」

同氏はさらに、「多層の難読化、フォントファイルに偽装したLuaローダー、ファイルレス実行チェーン――そのすべては、人間がすでに判断を下した後に検出を逃れるために存在しています。組織はこの点を常に念頭に置いておくべきでしょう」と付け加えています。

ビジネスや決済をテーマにしたフィッシングの誘い文句を使用

研究者によると、被害者は著名企業になりすましたフィッシングメールを受け取り、ビジネス提携や決済に関連するテーマを使って圧縮アーカイブファイルを開くよう誘導されます。これらのアーカイブには難読化されたJScriptが含まれており、これが持続性を確立した後、正規のAutolt実行ファイルまたはLuaJITインタープリターのいずれかと、.ttf拡張子でパッケージ化された悪意あるスクリプトをドロップします。

この偽装フォントファイルはLuaベースのローダーとして機能し、複数の難読化解除処理を実行してから、シェルコードを復号してメモリ上で直接実行します。

SectigoのシニアフェローであるJason Soroko氏は、「セキュリティ対策は、ファイル拡張子をファイルの種類や意図の証拠として扱うことはできません」と述べています。「(このキャンペーンの)各コンポーネントは、単独で確認すると疑わしさが薄れて見える一方、それらの組み合わせがメモリ上でのRATや情報窃取型マルウェアの実行につながっています」

研究者が指摘するところによると、一部の新しい亜種はさらに巧妙化しており、セグメント化されたシェルコード暗号化、ベクトル例外ハンドラ(VEH)を利用した実行時復号、AMSIおよびETWのバイパス、API アンフッキングなど、エンドポイント防御を回避するために設計された分析対策技術を導入しています。

最終的なマルウェアペイロードはDonutシェルコードを使用して配信され、ペイロードをディスクに書き込むことなく実行できるようになっています。

防御には的を絞った緩和策と日常的なセキュリティ対策の徹底が必要

Fortinetの調査結果は、攻撃者の最終目的が認証情報の窃取と長期的なアクセス維持であることを裏付けています。確認されたマルウェアファミリー(Agent Tesla、Remcos、XWorm、Best Private LOGGER)はいずれも、認証情報の窃取、監視、リモートアクセスを目的としたものです。

Barney氏は、組織はローダーの技術的な巧妙さだけに注目するのではなく、攻撃者が最終的に侵害しようとするシステムそのものを強化すべきだと述べています。

同氏の見解では、この水準のローダーの巧妙さに対してはシグネチャベースの検出がしばしば通用しないため、最終的にはIDおよびアクセス管理が鍵を握るといいます。「特定の認証情報がアクセスできる範囲を制限すること、最小権限の原則を徹底すること、機微なシステムへのアクセス時に再認証を要求すること、異常なセッション挙動を監視すること――これらの対策がすべてのフィッシングメールの着弾を防げるわけではありませんが、一度成功されてしまった後に攻撃者が実行できることを大幅に制限することができます」と同氏は説明しています。

一方でSoroko氏は、技術的な指標に対策の焦点を絞ることを推奨しています。同氏は、業務上必要のない場面ではWindows Script Host、Autolt、LauJITの使用を制限すること、プロセスインジェクション、リモートメモリ割り当て、シェルコード実行といった挙動を監視すること、そしてFortinetが公開した侵害指標を脅威ハンティングに活用することを組織に呼びかけています。

Fortinetが公開した侵害指標(IOC)には、コマンド&コントロール(C2)アドレス、ファイルハッシュ、ファイル名が含まれています。

Soroko氏は、ローダーが時間とともに変化していることから、ハッシュやC2インフラのみに依存しないよう警告しています。同氏は、「より強力なアプローチは、バージョンをまたいで変わらない挙動を検出した上で、対策を攻撃チェーン全体に対してテストすることです」と述べています。

翻訳元: https://www.csoonline.com/article/4198165/fake-ttf-files-deliver-stealthy-malware-in-global-phishing-campaign.html

ソース: csoonline.com