TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

ウクライナ支援NGOを標的としたBlitzスピアフィッシングキャンペーン

ウクライナの戦争救援活動に関与する支援団体やウクライナの地方政府機関が、1日限りのスピアフィッシング攻撃の標的となったことが、SentinelOneのレポートで明らかになりました。

このキャンペーンは「PhantomCaptcha」と名付けられ、10月8日に実施されました。ロシア所有のインフラ上にホストされたWebSocketリモートアクセス型トロイの木馬(RAT)を配信し、任意のリモートコマンド実行、データの窃取、さらなるマルウェアの展開を可能にします。

標的には、国際赤十字、ノルウェー難民評議会、ユニセフ、欧州評議会のウクライナ損害登録簿、そしてドネツク、ドニプロペトロウシク、ポルタヴァ、ミコライウの各ウクライナ地方政府機関の個人メンバーが含まれていたと、10月22日に公開されたSentinelOneのレポートは伝えています。

攻撃者は、ウクライナ大統領府を装ったメールを使い、悪意のあるPDFを添付して、ClickFix風の偽Cloudflare CAPTCHAページを通じてマルウェアを実行させるよう被害者を誘導しました。

詳細: ClickFixとは何か、そしてその防止方法

ClickFix風CAPTCHAによる誘導

SentinelOneのSentinelLabsの研究者は、ウクライナのデジタルセキュリティラボから情報を受け取り、PhantomCaptchaキャンペーンを調査しました。

彼らは、6か月の準備期間を経た高度な多段階スピアフィッシング作戦を発見しました。

最初の誘導は、正規の政府通達に見せかけた8ページのPDF文書でした。

10月8日にVirusTotalに提出されたファイルは、ウクライナ、インド、イタリア、スロバキアなど複数の場所からアップロードされており、広範な標的化とキャンペーンへの被害者の関与が示唆されます。

被害者が武装化されたPDFを開き、埋め込まれたリンクをクリックすると、正規のZoomサイトを装ったドメインに誘導されますが、実際はフィンランドにあるロシアのプロバイダーKVMKAが所有する仮想プライベートサーバー(VPS)にホストされています。

このドメインは、偽のCloudflare DDoS保護ゲートウェイに誘導し、「私はロボットではありません」というreCAPTCHAのチェックボックスをクリックするよう求めます。

SentinelLabsの調査によると、悪意のあるドメインは攻撃が行われた同日に解決不能となり、1日限りの作戦であったことが示されています。

PhantomCaptcha infection paths. Source: SentinelOne
PhantomCaptcha感染経路。出典:SentinelOne

三段階の攻撃チェーン

チェックボックスをクリックすると、ウクライナ語の指示が書かれたポップアップが表示され、ユーザーに以下の操作を促します。

  1. ポップアップ内の「トークンをコピー」ボタンをクリックする
  2. Windows + Rキーで「ファイル名を指定して実行」ダイアログを開く
  3. コマンドを貼り付けて実行する

このボタンは、PowerShellコマンドレット(cmdlet)を含むcopyToken()関数を実行し、裏で不可視に動作します。このコードはhxxps://zoomconference[.]app/cptch/${clientId}から次の段階のPowerShellスクリプトをダウンロードして実行します。

「このソーシャルエンジニアリング手法は、悪意のあるコードをユーザー自身に実行させるため、悪意のあるファイルの検出に特化したエンドポイントセキュリティの制御を回避できます」とSentinelLabsの研究者は指摘しています。

その後のマルウェア配信キャンペーンは、検知回避と持続的なリモートアクセスの確立を目的とした三段階の攻撃チェーンでした:

  1. 最初のペイロードは、強力に難読化されたPowerShellダウンローダーで、hxxps://bsnowcommunications[.]com/maintenanceから次のペイロードを取得・実行します。過度な難読化はシグネチャベースの防御を回避し、解析を困難にします
  2. 第二段階のペイロードはシステム調査を行い、コンピュータ名、ユーザー名、ハードウェア識別子、ドメイン情報など様々なユーザーデータを収集します
  3. これらのデータはハードコードされたキーでXOR暗号化され、hxxps://bsnowcommunications[.]com/maintenance/<data>にHTTP GETリクエストで送信されます
  4. 最終ペイロードは軽量なPowerShellバックドアで、wss://bsnowcommunications[.]com:80のリモートWebSocketサーバーに継続的に接続します

最近のColdriverキャンペーンとの重複

SentinelLabsの研究者は、PhantomCaptchaキャンペーンについて「広範な作戦計画、分割されたインフラ、意図的な露出制御を示す非常に能力の高い攻撃者によるもの」と結論付けました。

「初期インフラ登録から攻撃実行までの6か月間、そしてユーザー向けドメインを迅速に停止しつつ、バックエンドのコマンド&コントロールを維持したことは、攻撃と防御の両面に精通したオペレーターであることを示しています」と研究者らは記しています。

また、このキャンペーンの攻撃チェーンと、最近報告されたColdriverによる活動(ロシアFSBと関係があるとされる脅威グループ)との重複も特定しました。

翻訳元: https://www.infosecurity-magazine.com/news/blitz-spear-phishing-ngos-ukraine/

ソース: infosecurity-magazine.com
#AI-driven social engineering #ClickFix #COLDRIVER #NGOs #PhantomCaptcha #Remote Access Trojan #Russia-Ukraine conflict #Russian cyberattacks #SentinelOne #Spear Phishing

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新