CloudSEKの脅威調査・情報分析部門(TRIAD)は、所得税をテーマにしたフィッシング誘導を用いてインドの組織を標的とする、進行中のサイバー諜報キャンペーンを発見しました。
この作戦は中国の国家支援を受ける Silver Fox APT によるものとされており、この誘導タイプと同グループのインフラとの間で初めて確認された関連性となります。
フィッシングメールはインド所得税局からの正規通知を模倣しているように見え、「TOPSOE India Private Limited」とラベル付けされた添付ファイルが含まれています。
開くとPDFはドメイン ggwk[.]cc に誘導し、「tax affairs.exe」という実行ファイルを含む悪意のあるZIPファイルのダウンロードを引き起こします。
技術分析により、この実行ファイルは Nullsoft Scriptable Install System(NSIS) インストーラーであることが判明しました。NSISは、正規に見えるバイナリ内に圧縮されたペイロードを埋め込むためによく使用されます。
インストーラーは一時作業ディレクトリを作成して実行を開始し、 Thunder.exe および libexpat.dll の2つのファイルをドロップします。 Thunder.exe は中国企業Xunleiの正規のデジタル署名付きアプリケーションですが、ここでは DLL検索順序 を乗っ取るために悪用されています。
実行されると、このバイナリは正規版ではなく悪意のある libexpat.dll を読み込み、攻撃者のコードが信頼されたプロセスの下で実行されるようにします。
このDLLは複数のアンチデバッグおよびサンドボックス回避チェックを実行し、Windows Updateサービスを無効化し、 box.ini から暗号化されたペイロードを読み込みます。
復号してシェルコードとして実行した後、マルウェアは explorer.exe に自身をインジェクトします。このペイロードは DonutLoader として機能し、ディスク検知を回避するために最終的な悪意のあるモジュールを完全にメモリ上で復号・実行します。
最終ペイロードは、キーロギング、リモートシェルアクセス、ファイル転送、レジストリベースの永続化が可能なリモートアクセス型トロイの木馬である Valley RAT と特定されています。
このRATは、 b[.]yuxuanow[.]top、 itdd[.]club、 gov-a[.]work などのドメインを含む3層のフェイルオーバーシステムを介してコマンド&コントロール(C2)サーバーと通信し、主要サーバーがブロックされても継続的な接続性を確保します。また、柔軟な通信のためにHTTP/HTTPSと生TCPプロトコルの両方をサポートします。
Valley RATは、暗号化されたプラグインをWindowsレジストリに保存することで永続性を維持し、攻撃者 がシステムを再感染させることなく機能を更新したり新しいモジュールを展開したりできるようにします。
これらのプラグインは tracerpt.exe (署名付きのMicrosoftバイナリ)にインジェクトされ、認証情報の窃取や監視のためにマルウェアの機能を拡張します。
標準的なファビコンやドメイン登録パターンといった共有インフラ要素からのピボットにより、CloudSEKはこのキャンペーンを、地域的な諜報活動で知られる中国のグループ Silver Fox APT に帰属させました。
報告書は、正確な帰属が敵対者の行動を理解する上で重要であることを強調し、誤分類は防御戦略を誤った方向へ導きかねないと警告しています。
翻訳元: https://cyberpress.org/income-tax-phishing-campaigns/