組織に対し、偽の従業員パフォーマンス報告書を悪用してGuloaderマルウェアを展開し、最終的に侵害されたシステムにRemcos RATをインストールする新たなフィッシングキャンペーンについて警告が出されています。
確認された事例では、脅威アクターが2025年10月の従業員パフォーマンス報告書を共有すると称するフィッシングメールを送信しています。
メール本文では、経営陣が一部の従業員を解雇する計画であると主張し、添付された報告書を確認するよう受信者に促します。
雇用の安定に関する不安を悪用することで、攻撃者は標的ユーザーが十分な注意を払わずに添付ファイルを開いてしまう可能性を高めます。
添付ファイルは圧縮されたRARアーカイブとして届きます。このアーカイブの中には「staff record pdf.exe」という名前のNSIS実行ファイルが含まれています。
AhnLab Security Intelligence Center(ASEC)によって最近文書化されたこのキャンペーンは、解雇や評価に対する従業員の不安を悪用し、被害者を誘導して悪意のある添付ファイルを開かせます。
Guloader(GuLoader)の動作
この命名規則は、特に既定でファイル拡張子が非表示になっているシステムにおいて、ユーザーがこのファイルを無害なPDF文書だと誤認するよう欺くためのものです。
ユーザーがPDFだと思ってファイルをダブルクリックすると、代わりに実行ファイルが起動し、マルウェア感染の連鎖が開始されます。
「staff record pdf.exe」ファイルの正体は、実際にはGuloaderマルウェアです。実行されると、Guloaderは直ちに目に見えるペイロードをディスク上にドロップしません。
その代わりに、シェルコードをメモリに読み込み、リモートのコマンド&コントロール(C2)から次段階のペイロードを取得します。
このキャンペーンでは、シェルコードはGoogle DriveのURL(セキュリティ報告ではhxxps://drive.google[.]com/uc?export=download&id=1bzvByYrIHy24oMCIX7Cv41gP9ZY3pRsgvとして難読化)からダウンロードされます。
正規のクラウドストレージプラットフォームを利用することで、攻撃者は通常のトラフィックに紛れ込み、単純なドメインベースのブロックを回避できます。
この攻撃連鎖で最終的に配布されるペイロードは、よく知られたリモートアクセス型トロイの木馬であるRemcos RATです。
インシデント対応手順
インストールされると、Remcosは攻撃者に広範なリモート制御機能を提供します。脅威アクターは、キーストロークの記録、スクリーンショットの取得、ウェブカメラやマイクの制御、ブラウザ履歴や保存されたパスワードの流出(持ち出し)などを行えます。
文書化されたインシデントでは、Remcosはポート2404および5000を介して196.251.116[.]219のC2サーバーと通信し、攻撃者が感染マシンへの永続的なアクセスを維持して監視やデータ窃取を行えるようにしていました。
このキャンペーンは、いくつかの憂慮すべき傾向を浮き彫りにしています。攻撃者は、ペイロードのホスティングやC2インフラとしてクラウドストレージサービスなどの正規プラットフォームを悪用するケースが増えており、従来のブラックリストベースの防御は効果が低下しています。
同時に、ここでは解雇への恐れや評価への懸念といった人間の感情につけ込み、技術的な制御を回避する巧妙なソーシャルエンジニアリングに依存し続けています。
リスクを軽減するために、組織はファイル拡張子が既定で表示されるようにし、継続的なフィッシング対策の啓発トレーニングを提供し、悪意のある実行ファイルや不審なメモリ活動を検知できる高度なメール/エンドポイントセキュリティを導入すべきです。
ユーザーは、依頼していないパフォーマンス報告書や人事関連文書には注意して対応すべきであり、特に圧縮アーカイブや実行ファイルが含まれる場合は警戒が必要です。
定期的なパスワード変更、多要素認証、迅速なインシデント報告は、認証情報が侵害された場合やシステムが感染した場合の影響を抑えるのに役立ちます。
翻訳元: https://gbhackers.com/guloader-malware/
