TokyoBlackHatNews

gbhackers.com 5分で読了

Blind Eagleハッカー、PowerShellスクリプトを用いて政府機関を標的に

Zscaler ThreatLabzの研究者によると、コロンビアの政府機関はBlindEagle脅威グループが仕掛けた高度な多段階サイバー攻撃キャンペーンに直面しており、同グループは侵害された内部メールアカウント、PowerShellスクリプト、ステガノグラフィを悪用して、標的システムにリモートアクセス型トロイの木馬を展開した。

このサイバーセキュリティ企業は発見したこのスピアフィッシング作戦を2025年9月上旬に確認し、BlindEagleがコロンビア商工観光省(MCIT)配下の機関を、同一組織内の侵害されたアカウントから送信されたメールで標的にしていたことを明らかにした。

この「内部から内部」への手法により、攻撃者はDMARC、DKIM、SPFチェックを含む従来のメールセキュリティ制御を回避しつつ、組織内の信頼関係を悪用できた。

ThreatLabzの分析によれば、フィッシングメールは組織のSPFポリシーで許可された正規のMicrosoft 365サーバーから送信されており、メッセージの経路ヘッダーはすべて真正に見えるという。

この攻撃は、単一マルウェアのキャンペーンを展開していた段階から、CaminhoダウンローダーとDCRATリモートアクセス型トロイの木馬を含む複雑で多層的な攻撃チェーンを編成する段階へと、BlindEagleが進化していることを示している。

攻撃手法

このキャンペーンは、コロンビアの司法制度になりすました法務関連のフィッシングメールから始まり、捏造された事件番号や、受領確認を急がせる要求が盛り込まれていた。

メッセージにはSVG画像の添付ファイルが含まれており、クリックするとBase64でエンコードされたHTMLページがデコードされ、コロンビアの司法機関の公式Webポータルを模したページが表示された。

Image
BlindEagleのフィッシングメールに含まれていたSVG添付ファイル。 

偽のポータルとやり取りした被害者は、自動的にJavaScriptファイルをダウンロードさせられ、ファイルレス攻撃のシーケンスが開始された。

マルウェアは整数配列のデオブフスケーション技術を用いて3つのJavaScriptコード片を実行し、各段階で後続のペイロードを再構成して起動した。

第3段階のJavaScriptでは、検知回避のためにUnicodeベースのコメントと複雑な文字列操作が導入され、その後Windows Management Instrumentationを介してPowerShellコマンドを実行した。

PowerShellスクリプトは、Internet Archiveから画像ファイルをダウンロードし、そこに「BaseStart-」および「-BaseEnd」という特定のマーカーの間に隠されたBase64エンコードのペイロードを含めていた。

Image
デコードされたBlindEagleのPowerShellコマンド。

具体的には、Windows Management Instrumentation(WMI)を利用して Win32_Process インスタンスを取得する。

ステガノグラフィで悪意あるコードを隠蔽しつつ、スクリプトは埋め込まれたアセンブリを切り出してデコードし、リフレクション技術を用いて.NETモジュールとして動的に読み込んだ。

マルウェアのインフラ

ThreatLabzは、読み込まれたアセンブリをCaminhoと特定した。Caminhoはダウンローダー型マルウェアで、2025年5月にブラジルのサイバー犯罪者向けマーケットプレイスで初めて登場した。

ダウンロード後、スクリプトは2つの特定のマーカー、すなわち BaseStart- と -BaseEnd の間に埋め込まれたBase64エンコードのペイロードを切り出す。

Image
PowerShellコマンドによってデオブフスケートされた内容。

証拠から、Caminhoはポルトガル語話者の開発者によって作成された可能性が示唆されている。マルウェアの主要メソッドには、ポルトガル語で「caminho」(パス)や「extençao」(拡張子)といった引数名が含まれているためだ。

BlindEagleは早期にCaminhoを採用し、Discordのコンテンツ配信ネットワークからDCRATのペイロードをダウンロードするために使用した。

最終段階のDCRATマルウェアはプロセスホロウイング技術を用い、正規のMSBuild.exeユーティリティを起動して、悪意あるコードをメモリへ直接注入した。

このAsyncRATの亜種には、AES-256で暗号化された設定と、証明書ベースのC2サーバー認証機能が備わっており、DCRATの元のオープンソースコードベースには存在しない。

ThreatLabzは、DCRATサンプルの発行者と一致する証明書を公開しているホストを世界で24件発見した。インフラは主に、BlindEagleが歴史的に好んできたホスティングプロバイダーであるGleSYS ABのASN 42708配下のスウェーデンIPアドレス上にホストされていた。

同グループはまた、ydns.euのDynamic DNSサービスも利用しており、これまでに文書化された運用パターンと一致している。

研究者らは、インフラの嗜好、コロンビアを標的とする点、法務関連の誘導文、.NETマルウェアの広範な使用、Discordを含む正規サービスの悪用(ペイロードのホスティング)、そして実証済みのステガノグラフィ技術に基づき、中程度の確度でこのキャンペーンをBlindEagleによるものと帰属した。

この攻撃は、BlindEagleがコロンビアの政府機関に継続的に注力していることを浮き彫りにするとともに、地下マーケットプレイスの高度なツールを採用して運用能力を強化していることを示している。

翻訳元: https://gbhackers.com/blind-eagle-hackers-2/

ソース: gbhackers.com
#BlindEagle #Caminho #DcRat #Microsoft 365 #PowerShell #コロンビア政府機関 #ステガノグラフィ #スピアフィッシング #プロセスホロウイング #リモートアクセス型トロイの木馬(RAT)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚