インド所得税局を装った高度なフィッシングキャンペーンが、長期的な監視と遠隔操作が可能なマルウェアで国内企業を標的にしています。
税務コンプライアンス通知の緊急性と馴染み深さを悪用し、攻撃者は被害者を誘導して多段階の感染チェーンを発動させ、最終的に永続的なリモートアクセス型トロイの木馬(RAT)の展開に至らせています。
「そのメールには……テキストがまったく含まれていません。代わりに、本物のITD通知に見えるよう作られた単一の埋め込み画像が使われています。この手口は、本文のテキストベースのスパムフィルタやキーワード検知を回避するのに役立ちます」と、Seqriteの研究者は述べています。
税務を装ったマルウェア感染チェーンの内部
攻撃は、公式のITD通信に見せかけて偽装されたスピアフィッシングメールから始まります。
メッセージにはReview Annexure.pdfというラベルのPDF添付ファイルが含まれており、受信者が以前の税務通知に従わなかったという筋書きを補強します。
PDFは、攻撃者が管理するドメイン上にホストされた偽のITDコンプライアンスポータルへ被害者を誘導します。サイトにアクセスすると直ちに、デジタル署名された大容量の実行ファイルを含むZIPアーカイブの強制ダウンロードが開始されます。
さらにサイトは、互換性の問題があると称してアンチウイルスソフトを無効化するようユーザーに指示します。これはマルウェア配布の試みでよく見られる指示です。
実行されると、マルウェアは2段階のNSISベースのインストーラーを展開します。
第1段階はローダーとして機能し、第2段階のインストーラーを静かに展開して起動した後、自身の痕跡を消去します。
第2段階は、多数のバイナリ、ドライバ、ツールを隠しシステムディレクトリにインストールし、正規のセキュリティコンポーネントを装ったWindowsサービスを通じて永続化を確立します。
その後、インプラントはシステム情報を収集し、ユーザー活動を追跡し、暗号化チャネルを用いて非標準ポート経由で複数のコマンド&コントロール(C2)サーバーと通信します。
全体の挙動は、単純なインフォスティーラーというより、フル機能のRATに非常に近く、攻撃者が感染システムを長期にわたり制御できるようにします。
多段階フィッシングキャンペーンのリスク低減
現代のフィッシングキャンペーンは、ソーシャルエンジニアリングと多段階のマルウェア配布を組み合わせる傾向が強まっており、従来の防御だけでは不十分になっています。
リスク低減には、メールセキュリティ、エンドポイントでの実行、ID保護、ネットワーク可視性に対処する多層的な統制が必要です。
- 既知の悪性ドメインをブロックし、画像のみのメールやPDFをスキャンし、配信前に添付ファイルとURLをサンドボックスで検査することで、メールセキュリティを強化します。
- ユーザーが書き込み可能なディレクトリからの実行ファイル起動を無効化し、アプリケーションの許可リスト(allowlisting)を強制することで、信頼できないインストーラーの実行を制限します。
- フィッシング耐性のあるMFAを強制し、不要なローカル管理者権限を削除し、エンドポイントとアプリケーション全体に最小権限のアクセス制御を適用します。
- 監視により、疑わしいインストーラーの実行、新規または偽装されたWindowsサービス、異常なポートを介した外向き接続について、エンドポイントとネットワークを監視します。
- C2通信を制限し、ラテラルムーブメントの機会を減らすために、ネットワークセグメンテーションとエグレスフィルタリングを実装します。
- 対象を絞ったセキュリティ意識向上トレーニング、フィッシング演習、露出後の認証情報ローテーション、迅速な対応プレイブックを通じて、人とインシデント対応の準備態勢を改善します。
これらの対策を実装することで、組織は攻撃者の活動範囲を制限し、対応準備を強化できます。
現代のフィッシングはより大きなリスクをもたらす
このキャンペーンは、脅威アクターが信頼性と成功率を高めるために、ソーシャルエンジニアリングの手口を現実世界の出来事や規制プロセスにますます合わせ込んでいることを示しています。
マルウェア配布チェーンがより複雑かつ秘匿的になるにつれ、フィッシングメールは単純な認証情報窃取の試みから、より広範なシステム侵害のための信頼できる侵入口へと進化しており、セキュリティチームによる一層の精査が求められています。
フィッシング起因の侵害は、組織に暗黙の信頼モデルの見直しを促し、あらゆる段階でアクセスを検証するゼロトラストアプローチの採用を後押ししています。
