セキュリティ研究者は、ISOファイルを武器化してPhantom情報窃取マルウェアをWindowsシステムに配信し、一般的なメールおよびエンドポイント防御を回避する、新たなフィッシング主導のマルウェアキャンペーンを発見しました。
Operation MoneyMount-ISOと名付けられたこの作戦は、金融を題材にしたソーシャルエンジニアリングに依存し、ユーザーをだまして悪意のあるペイロードを実行させ、認証情報、決済データ、機密性の高いシステム情報を密かに吸い上げます。
この攻撃は「…認証情報の窃取、請求書/支払い詐欺、不正送金、ITシステムへのラテラルムーブメント」につながり得ると、Seqriteの研究者は述べています。
標的にされる財務チーム
このキャンペーンは主に財務、経理、資金管理、支払い部門を標的としており、二次的な標的として調達、法務、人事/給与チーム、役員秘書、ロシア語圏の中小企業にも及んでいることが確認されています。
これらの職務は日常的に請求書や支払い確認を処理するため、業務上もっともらしく見える金融テーマのフィッシング誘導に対して特に脆弱です。
Seqriteの調査によると、このキャンペーンは侵害されたドメインを通じてPhantom Stealerを積極的に配信しており、信頼できる金融機関になりすましたロシア語のフィッシングメールを使用しています。
Phantom Stealerの感染チェーン
感染は、「Подтверждение банковского перевода」(銀行振込の確認)という件名のフィッシングメールから始まり、ZIPファイルの添付が含まれています。
ZIPアーカイブの中には、銀行振込確認書類を装った悪意のあるISOファイルがあります。開くと、ISOファイルはWindowsシステム上で自動的に仮想CDドライブとしてマウントされ、被害者には無害に見える実行ファイルが露出します。
実行されると、このファイルは多段階のメモリ常駐型攻撃シーケンスを開始します。追加のペイロードがメモリに直接ロードされ、その中にはCreativeAI.dllという暗号化されたDLLも含まれます。
このDLLは実行時に自己復号し、最終段階のPhantom Stealerマルウェアをシステムにインジェクトすることで、ディスク上の痕跡を減らし、検知機会を制限します。
このマルウェアには、仮想マシン、デバッグツール、セキュリティソフトウェアを検出するためのアンチ解析技術が組み込まれています。解析が検出されると、Phantom Stealerは実行を終了したり自己削除したりする可能性があり、インシデント対応やフォレンジック調査を困難にします。
攻撃者がISOファイルを使って検知を回避する方法
ISOファイルの悪用により、攻撃者は多くのメールセキュリティおよびエンドポイント保護戦略の隙を突くことができます。ISOイメージは低リスクのアーカイブファイルとして扱われがちで、Windowsに組み込まれた自動マウント機能の恩恵も受けます。
これにより、攻撃者はマクロや露骨に怪しいファイル種別に頼ることなく実行ファイルを配信でき、実環境での実行成功率を高めます。
稼働後、Phantom Stealerは広範なデータ窃取能力を示します。このマルウェアは、認証情報、ブラウザに保存されたパスワード、クレジットカード情報、暗号資産ウォレットのデータを、ブラウザ拡張機能とデスクトップアプリケーションの双方から収集します。
また、Discordの認証トークンを抽出し、DiscordのAPIを通じてそれらを検証し、関連するアカウントのメタデータを収集します。
追加機能として、1秒ごとにコピー内容を取得する継続的なクリップボード監視、低レベルのWindowsフックを用いたグローバルなキーストロークロガー、攻撃者が事前定義した条件に基づく標的ファイル収集が含まれます。
窃取データは、システムメタデータとグローバルIP情報を含むZIPアーカイブに圧縮されます。
メール経由の脅威に対する必須コントロール
組織は、メール、エンドポイント、ID、ネットワークセキュリティ全体で、予防・検知・封じ込めを組み合わせた多層的アプローチを採用すべきです。
- ISOやZIPファイルなどのコンテナ化された添付ファイルを検査、サンドボックス実行、またはブロックできるよう、メールセキュリティを強化する。
- 自動ISOマウントを無効化し、アプリケーション制御と攻撃対象領域削減(ASR)ルールを適用することで、マウント済みまたはリムーバブルメディアからの実行を制限する。
- インメモリのペイロード、認証情報の窃取、異常なスクリプト活動を検知するため、EDRを行動分析、メモリ分析、プロセスチェーン分析とともに導入する。
- 新規登録ドメインをブロックし、不要なサービスへのアクセスを制限し、不審な暗号化接続を検査することで、送信(アウトバウンド)ネットワークトラフィックを監視・制御する。
- 最小権限アクセス、ネットワークセグメンテーション、デバイス準拠チェック、フィッシング耐性のある多要素認証により、被害範囲(ブラスト半径)を縮小する。
- 対象を絞ったユーザー啓発トレーニング、財務部門向けのフィッシング訓練、検証済みのインシデント対応計画により、備えを強化する。
これらのコントロールを組み合わせて適用することで、組織は被害範囲を縮小し、サイバーレジリエンスを高めることができます。
Living-Off-the-Land手法の台頭
Operation MoneyMount-ISOは、従来のセキュリティコントロールを回避するために、信頼されたファイル形式やLiving-off-the-land手法を悪用する方向へと、脅威アクターの行動がより広範にシフトしていることを反映しています。
ISOコンテナとOSネイティブ機能を活用することで、攻撃者は露骨なマルウェアへの依存を減らし、正当なユーザー活動に紛れ込み、既知の悪性ファイル種別に最適化された境界防御を回避します。
この進化は、ファイルの評判だけでなく、挙動と実行コンテキストに焦点を当てた検知戦略の必要性を浮き彫りにしています。
攻撃者が正当な活動に紛れ込むことで境界防御を回避する中、組織は暗黙の信頼を、侵害を前提としてユーザー、デバイス、挙動を継続的に検証するゼロトラストモデルへ置き換えなければなりません。
翻訳元: https://www.esecurityplanet.com/threats/phantom-stealer-uses-iso-files-to-breach-windows-systems/
