TokyoBlackHatNews

gbhackers.com 5分で読了

インド所得税を装った誘導キャンペーン:企業を狙う多段階マルウェアを展開

税金をテーマにしたフィッシングキャンペーンはここ数か月で激化しており、インドの所得税申告(ITR)提出シーズンをめぐる注意喚起の高まりに便乗しています。

還付の時期や遵守期限に関する公の議論は、攻撃者が信憑性の高い誘い文句を作るのに理想的な土壌となります。

インド所得税局を装ったメールに関する最近の分析では、一般的な認証情報の窃取スキームよりもはるかに危険な高度な作戦が明らかになっています。被害者システムへの永続的なリモートアクセスを確立するために設計された、連携した多段階の感染チェーンです。

攻撃は、Outlook.com ドメインから送信元を偽装した、巧妙に作り込まれたスピアフィッシングメールから始まります。正規の政府機関は公開Webメールサービスを避けるため、これは即座に危険信号となります。

件名「Tax Compliance Review Notice(税務コンプライアンス審査通知)」は、期限の見落としに対する受信者の不安につけ込みます。

Image
インド所得税局(ITD)を装ったメール.

自動フィルタが検知しやすいテキスト主体の内容を使うのではなく、攻撃者は本物のITD通知を複製した画像を埋め込みました。そこにはインド政府の紋章、捏造された部署参照、偽のDIN番号、そして人工的な緊急性を示すマーカーが含まれていました。

添付の「Review Annexure.pdf」は、過去の不遵守を主張し、埋め込みURLを介して偽の「Compliance Portal(コンプライアンスポータル)」へ誘導することで、ソーシャルエンジニアリングの圧力をさらに高めます。

この物語的な進行――違反の疑いの通知に続いて是正措置リンクを提示する――は、時間に追われる受信者の批判的思考を回避させるために設計された、教科書的な心理操作です。

感染のカスケード

注目すべきことに、ポータルには明らかに不審なメッセージが表示されます。「セキュリティソフトによる誤検知を避けるため、クライアントを使用する前にあらかじめアンチウイルスプログラムを無効にしてください。」

正規の政府サービスがこのような要求をすることはありません。これは悪意ある意図を示す明白なサインであり、偽の「互換性」説明によって被害者の防御を下げようとするものです。

抽出される実行ファイルは、中国の企業(Hengshui Shenwei Technology Co., Ltd.)によってデジタル署名された150MBのNSISインストーラで、サイレントローダーとして動作します。

Image
感染チェーン。

これは複数のコンポーネントを一時ディレクトリに展開し、ユーザー操作なしに補助バイナリを実行した後、フォレンジック証拠を最小化するために自己削除します。

この引き継ぎメカニズムにより、第2段階のインストーラ――別のデジタル署名(Shandong Anzai Information Technology CO., Ltd.)を持つ追加の147MB NSISパッケージ――が導入されます。これにより、帰属特定と検知を困難にする二層の展開アーキテクチャが実質的に構築されます。

第2段階では、中国語のアプリケーションパッケージがインストールされ、カーネルドライバ、リモートデスクトップコンポーネント、システムユーティリティ、監視ツールが「C:\Program Files\Common Files\NSEC」に隠し属性付きで展開されます。

その後インストーラは、NSecRTS.exe を「Windows Real-time Protection Service(Windows リアルタイム保護サービス)」になりすましたWindows Serviceとして登録し、システム起動時の自動実行を確実にすることで永続化を達成します。

NSecRTS.exe サービスは、非標準ポートを介して複数のIPアドレス(154[.]91[.]84[.]3、45[.]113[.]192[.]102、103[.]235[.]46[.]102)へ暗号化されたコマンド&コントロール(C2)接続を確立し、リモートでのタスク実行や追加ペイロードの展開を可能にします。

脅威の示唆

このキャンペーンは、税金をテーマにしたフィッシングにおける根本的な変化を示しています。認証情報の窃取にとどまらず、永続的なアクセス、広範な監視、そしてC2インフラを備えたフル機能のリモートアクセス型トロイの木馬(RAT)機能を提供します。

Sibuia.exe は、一時ディレクトリの \0\ から子プロセスとして別の「setup_Ir5swQ3EpeuBpePEpew=.exe」を生成し、別の署名付きインストーラ・ペイロードへ実行を実質的に引き継ぎます。

Image
ステージ1インストーラのプロセスツリー.

永続化が確立されると、マルウェアは広範なシステム情報(OSバージョン、インストール済みアプリケーション、稼働中サービス、ハードウェア構成)を収集し、構造化されたディレクトリ形式で保存し始めます。

複数の技術的指標――簡体字中国語の使用、インストーラのエコシステム・アーキテクチャ、コード署名主体――は、中国に関連する開発またはパッケージングを示唆しています。

防御側にとって教訓は明確です。金融をテーマにしたフィッシングメールは、正当な季節要因の懸念につけ込むがゆえに、依然として有効なソーシャルエンジニアリングのベクターであり続けます。

組織は、テキスト分析を超えたメールフィルタリングを実装し、セキュリティ制御をオフにするよう求める不審な要求を精査し、無許可のサービス登録や非標準のC2通信を監視する必要があります。

翻訳元: https://gbhackers.com/income-tax-lure/

ソース: gbhackers.com
#C2(コマンド&コントロール)通信 #NSISインストーラー #インド所得税(ITR) #スピアフィッシング #デジタル署名悪用 #マルウェア多段階感染 #リモートアクセス型トロイの木馬(RAT) #企業向けサイバー攻撃 #永続化(Windowsサービス) #税金テーマのフィッシング

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚