AhnLab Security Intelligence Center(ASEC)は、偽の従業員パフォーマンス報告書を悪用してGuloaderマルウェアを配布する高度なフィッシングキャンペーンを発見しました。
この攻撃は、脅威アクターが正規の職場コミュニケーションを武器化してセキュリティ意識を回避し、ユーザーをだまして悪意のあるコードを実行させる手口を示しています。
フィッシングメールは、2025年10月のパフォーマンス報告書が含まれていると偽って主張し、緊急性を生み出すためのソーシャルエンジニアリング手法を用います。
攻撃者は従業員の解雇計画に具体的に言及し、受信者に適切な検証を行わずに添付ファイルを開かせるよう圧力をかけます。
この心理的操作により、標準的なフィッシングの試みに比べてユーザーの関与が大幅に増加します。
悪意のある添付ファイルは、実行ファイルを含むRAR圧縮ファイルとして届き、PDF文書を装っています。
「staff record pdf.exe」という名前のこのファイルは、Windowsにおける拡張子の非表示機能を悪用して正規のPDFのように見せかけます。技術的知識のない無防備なユーザーは、文書だと信じてこのファイルを実行してしまう可能性があります。
Guloaderはローダーとして機能し、侵害されたGoogle DriveのURLからシェルコードをダウンロードして実行し、多段階の感染プロセスを確立します。
最終ペイロードはRemcos RAT(リモートアクセス型トロイの木馬)です。この強力なリモートアクセスツールにより、脅威アクターは感染したシステムを完全に制御できます。
展開されると、Remcos RATは、キーストロークの記録、スクリーンショットの取得、Webカメラおよびマイクの乗っ取り、Webブラウザからの認証情報の窃取など、広範な侵害後活動を攻撃者に可能にします。C2インフラは次のエンドポイントを使用します:196.251.116.219:2404 および 5000。
組織は、包括的なメールセキュリティ制御とユーザートレーニングプログラムを実施すべきです。従業員は、不明な送信元からの添付ファイルを開く前に、送信者アドレスを独立して確認しなければなりません。
定期的なパスワード変更は認証情報漏えいの可能性を軽減し、多要素認証は、侵害インシデント後の不正アクセスに対する追加の保護を提供します。
翻訳元: https://cyberpress.org/weaponized-employee-performance-reports/
