サイバー犯罪者は、2025年1月3日にベネズエラのニコラス・マドゥロ大統領が逮捕されたという報道を利用し、高度なソーシャルエンジニアリング・キャンペーンを通じてバックドア型マルウェアを配布しています。
Darktraceのセキュリティ研究者は、この注目度の高い地政学的出来事を悪用して、警戒していない被害者を侵害する悪意ある作戦を発見しました。
攻撃手法
脅威アクターは、「US now deciding what’s next for Venezuela.zip」というタイトルのZIPアーカイブを含むスピアフィッシングメールを使用した可能性が高いとみられます。
アーカイブ内には、「Maduro to be taken to New York.exe」という名前の実行ファイルと、「kugou.dll」と呼ばれる悪意あるダイナミックリンクライブラリ(DLL)が同梱されています。
この実行ファイルは実際には、中国のストリーミングプラットフォームKuGouの正規バイナリですが、DLL検索順序ハイジャックを介して悪意あるDLLを読み込むよう武器化されています。
実行されると、マルウェアはC:\ProgramData\Technology360NBにディレクトリを作成し、自身をそこへコピーします。
実行ファイルは「DataTechnology.exe」にリネームされ、HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360にあるレジストリキーを通じて、システム起動時に自動実行されるよう設定されます。
その後、ユーザーにコンピューターの再起動を促す偽のダイアログボックスが表示され、従わない場合はマルウェアが強制的にシステムを再起動します。
再起動後、マルウェアはポート443で172.81.60[.]97にあるコマンド&コントロール(C2)サーバーへ暗号化されたTLS接続を確立し、定期的にビーコン通信を行って攻撃者からの指示や設定更新を受け取ります。
このキャンペーンは、主要な世界的出来事を悪意ある目的で悪用するという、よく確立されたパターンに沿ったものです。
ウクライナ戦争に関連するキャンペーンでも同様の手口が確認されており、脅威アクターが捕虜に関する言及をフィッシングメールで利用していました。
中国の脅威グループMustang Pandaは、ウクライナ、チベット関連の会議、南シナ海、台湾に関する誘い文句を用いてバックドアを展開するなど、同種の手法を繰り返し用いてきました。
戦術・技術・手順(TTP)にはMustang Pandaの活動との類似点が見られるものの、研究者は、このキャンペーンを特定の脅威グループに決定的に帰属させるには証拠が不十分だと強調しています。
組織およびユーザーは、特に時事問題に言及するメール添付ファイルを開く際には、強い注意を払うことが推奨されます。
侵害指標(IoCs)
- 172.81.60[.]97
- 8f81ce8ca6cdbc7d7eb10f4da5f470c6 – US now deciding what’s next for Venezuela.zip
- 722bcd4b14aac3395f8a073050b9a578 – Maduro to be taken to New York.exe
- aea6f6edbbbb0ab0f22568dcb503d731 – kugou.dll
翻訳元: https://gbhackers.com/cybercriminals-exploit-maduro-news-spread-malware/
