ZscalerのThreatLabzチームは、スペイン語圏の国々の機関を標的とすることで知られる南米拠点のサイバー諜報グループBlindEagleが開始した、新たなスピアフィッシング・キャンペーンを発見しました。
2025年9月上旬に検知された最新の攻撃は、商工観光省(MCIT)内のコロンビア政府機関を標的としていました。
このキャンペーンは、同一組織内から送信されたように見えるフィッシングメールから始まり、おそらく侵害されたMicrosoft 365アカウントが発信元とみられます。
内部の信頼関係を悪用することで、このメールはDMARC、DKIM、SPFのチェックを回避しました。コロンビアの司法制度からの公式メッセージを装い、偽の労働訴訟に言及し、SVG添付ファイルを含んでいました。
クリックすると、SVG画像は本物の司法Webポータルを模倣したHTMLページへとデコードされます。
各JavaScriptの段階は、整数配列とエンコード文字列を用いて難読化され、目的が隠されていました。
最終スクリプトはWindows Management Instrumentation(WMI)を使用し、ステルス性の高いファイルレス方式でPowerShellコマンドを実行しました。
PowerShellによって抽出されたペイロードは、当初ブラジルのサイバー犯罪コミュニティに関連付けられていたマルウェア・ダウンローダー Caminhoであると特定されました。
最終段階では、C#で構築されたオープンソースのリモートアクセス型トロイの木馬(RAT)である DCRATが展開されました。DCRATは、キーロギング、ディスクアクセス、プラグイン実行など、感染システムに対する広範な制御を可能にします。
ウイルス対策の検知を回避するためのAMSIバイパス手法を含み、セキュアなコマンド&コントロール(C2)通信のためにAES-256暗号化と証明書ベースの認証を使用します。
このグループは、Discordなどの正規プラットフォーム上にペイロードをホストし、データを隠すためにステガノグラフィを用いることでも知られています。
この攻撃は、BlindEagleが単純な単一マルウェア感染から、PowerShell、インメモリローダー、オープンソースRATを活用する層状の多段階侵入へと継続的に進化していることを示しています。
ラテンアメリカの政府機関は依然として優先度の高い標的であり、このような高度なフィッシング脅威に対抗するため、メールセキュリティの強化と行動ベースの脅威検知の必要性が浮き彫りになっています。
翻訳元: https://cyberpress.org/blindeagle-powershell-attack/