サイバー犯罪者は、インドの所得税申告(ITR)シーズンに乗じて、所得税局(ITD)からの公式連絡を装った標的型フィッシングおよびマルウェアキャンペーンを展開している。
セキュリティ研究者は、インド企業を標的とする多段階マルウェア攻撃の侵入口となる、詐欺的な「Tax Compliance Review Notice(税務コンプライアンス審査通知)」メールの最近の波を確認した。
これらのメールは見た目こそ正規の政府通知に似ているが、永続的な制御を維持しデータを流出させるリモートアクセス型トロイの木馬(RAT)やインフォスティーラーを配布するために設計された、高度な感染チェーンの基盤を成している。
このキャンペーンは、インド政府の紋章、公式ヘッダー、捏造されたDIN番号、厳格な遵守期限などを備え、本物らしく見えるよう作り込まれたスピアフィッシングメールから始まる。
メール本文にはテキストがなく、代わりに正規の通知を模した埋め込み画像が含まれており、従来のスパムフィルターを回避する狙いがある。
送信者ドメインは多くの場合Outlook.com上でホストされており、公的なインド機関が連絡に公開Webメールサービスを使うことは稀なため、直ちに不審点として目立つ。
メールには「Review Annexure.pdf」という添付ファイルが含まれており、調査すると、hxxps://www.akjys.top/ にホストされた偽の「Income Tax Compliance Portal(所得税コンプライアンス・ポータル)」へ誘導する悪意のあるURLが含まれている。
被害者がリンクをクリックすると、サイトは正規のログインページを表示しない。代わりに、「Review Annexure.zip」というファイルのダウンロードが自動的に開始される。
この偽ポータルは、互換性の問題を理由にアンチウイルスソフトを無効化するよう指示してユーザーを欺こうとするが、これは攻撃者が検知回避とペイロード実行の成功率向上のために頻繁に用いる手口である。
展開後、ZIPファイルには「setup_Ir5swQ3EpeuBpePEpew=.exe」というNSISインストーラーが含まれており、中国企業のHengshui Shenwei Technology Co., Ltd.によってデジタル署名されている。
この第1段階インストーラーは、追加ファイルをサイレントにドロップし、同名の第2の実行ファイルを起動するが、こちらはShandong Anzai Information Technology Co., Ltd.によって署名されている。
中国製アプリケーションを装った第2段階インストーラーは、「C:\Program Files\Common Files\NSEC」ディレクトリに多数のバイナリ、DLL、ドライバーを展開する。これらのコンポーネントを組み合わせると、正規ソフトウェアパッケージではなく、フル機能のRATとして動作する。
マルウェアは「Windows Real-time Protection Service」というWindowsサービスを作成して永続化を実現し、NSecRTS.exeというコンポーネントを自動実行する。
Seqrite サービスはシステムおよびアプリケーションのデータを収集し、48991や48992といった非標準ポートを用いて、154.91.84.3、45.113.192.102、103.235.46.102を含む複数のコマンド&コントロール(C2)サーバーと通信する。
このキャンペーンのコード署名、言語に関する痕跡、コンパイル時の詳細は総合的に、中国に関連する開発環境を示している。
この作戦は、馴染みのある税関連のテーマが、単純なコンプライアンス詐欺から、インド企業を標的とする本格的なリモートアクセス侵入へと発展し得る、高度に連携したフィッシングキャンペーンへと転用されていることを示している。
翻訳元: https://cyberpress.org/income-tax-themed-attacks/