Seqrite Labsは、アルゼンチンの司法部門を標的とし、ステルス性の高いRustベースのリモートアクセス型トロイの木馬(RAT)を展開するために設計された多段階の感染チェーンを用いる高度なスピアフィッシング・キャンペーンを発見しました。
このキャンペーンは主に、アルゼンチンの司法機関、法曹関係者、司法に隣接する政府機関、ならびに法学系の学術組織を標的としています。
攻撃者は、正当なアルゼンチン連邦裁判所の判決、特に予防拘禁の審査文書を悪用して信頼性を確立し、マルウェアの配布成功を促進しています。
初期侵入ベクターでは、標的型のスピアフィッシングメールが利用され、3つの要素を含む武器化されたZIPアーカイブが添付されています。すなわち、悪意のあるLNKファイル(info/juicio-grunt-posting.pdf.lnk)、BATベースのローダースクリプト(info/health-check.bat)、そして本物らしく見える司法PDFのデコイ(info/notas.pdf)です。
Operation Covert Accessと名付けられたこの作戦は、実証しているとおり、高度なソーシャルエンジニアリング手法と強固なアンチ解析メカニズムを組み合わせ、南米全域の司法機関および法務組織内で永続的なアクセスを実現します。
ユーザーがLNKファイルを操作すると、実行チェーンは被害者にデコイ文書を表示しながら静かに開始され、疑念を招くことなくステルスにペイロードを展開できるようになります。
デコイ文書の分析
デコイ文書は、形式的な法務スペイン語で書かれたアルゼンチン連邦裁判所の決議を装うもので、Poder Judicial de la Nación(国家司法権)から発出されたと称し、実在するTribunal Oral en lo Criminal y Correccional N° 2 de la Capital Federal(首都連邦の刑事・矯正口頭裁判所第2号)に言及しています。
この文書は、条件付き釈放条項を伴う予防拘禁の司法審査について論じており、事件番号、司法署名、ならびにアルゼンチン刑事訴訟法の特定条文を引用する手続き上の文言が含まれています。
文書の構成、用語、書式は真正の裁判所判決に非常によく似ており、法曹関係者の間で信頼性を大幅に高め、ユーザーが操作してしまう可能性を著しく増大させます。
ステージ1では、LNKファイルが、実行ポリシーのバイパスと非表示ウィンドウモードで、システムディレクトリからPowerShellを実行します。このショートカットにはPDFアイコンが設定されており、悪意のあるショートカットを正当な文書に見せかけています。
ステージ2では、BATローダーがGitHubでホストされたリポジトリへの接続を確立し、第2段階のペイロードを取得します。
PowerShellコマンドは偽装したUser-Agent文字列を使用し、ダウンロードした実行ファイル(health-check.exe)を、正当なものに見せかけるためMicrosoft Edgeのユーザーデータディレクトリ内にmsedge_proxy.exeとして保存します。
ステージ3では、主要なRATコンポーネントであるmsedge_proxy.exeが展開され、VM検知(VMware、VirtualBox、Hyper-V、QEMU、Xen、Parallels)、サンドボックス環境検知、ならびにPEBチェックとタイミングベース解析によるデバッガ識別など、広範なアンチ解析チェックを実行します。
このRATは、ホスト名、ユーザー名、OS名、権限レベルなどのシステム情報を収集し、その後IPv4とIPv6の両方をサポートするフォールバック機構を用いてC2通信を確立します。デフォルトは181.231.253.69:4444です。
コマンド&コントロール機能
このマルウェアは、永続化のインストール用のPERSIST、ファイル操作用のDOWNLOADおよびUPLOAD、認証情報窃取用のHARVEST、ランサムウェア機能用のENCRYPTおよびDECRYPT、権限昇格用のELEVATEなど、包括的なコマンドセットを備えていることを示します。
すべてのコマンドはBase64でエンコードされて到着し、RATはDLLベースのランサムウェア、スティーラーモジュール、永続化のライフサイクル管理一式など、モジュール式の侵害後機能をサポートします。
このRATは、ランダム化された正当らしい値名(SecurityHealthSystray、MicrosoftEdgeAutoLaunch、Teams Machine Installer)を用いたレジストリのRunキー、および昇格権限でのschtasksによるスケジュールタスクを通じて、複数の永続化手法を実装しています。
専用のPERSIST_REMOVEコマンドにより、オペレーターの指示に応じてすべてのレジストリエントリとスケジュールタスクを削除する、完全なクリーンアップ機能が可能になります。
Operation Covert Accessは、高信頼の組織環境を標的としたソーシャルエンジニアリングによる侵入チェーンが、依然として有効であることを示しています。
組織は、偽装された法的文書に対するメールフィルタリングの強化、メール由来のLNKファイル実行の無効化、PowerShell実行ポリシーの強制、ならびに不審なプロセスチェーンとC2通信パターンを識別できるEDR(エンドポイント検知・対応)ソリューションの導入を実施すべきです。
IOCs
| ハッシュ | 名称 / ファイルパス | C2サーバー |
|---|---|---|
| dc802b8c117a48520a01c98c6c9587b5 | info/juicio-grunt-posting.pdf.lnk | |
| 45f2a677b3bf994a8f771e611bb29f4f | D:\auto_black_abuse\resources\unzipped\20251215_140518_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip | |
| 02f85c386f67fac09629ebe5684f7fa0 | info/health-check.bat | |
| 976b6fce10456f0be6409ff724d7933b | \msedge_proxy.exe | |
| 233a9dbcfe4ae348c0c7f4c2defd1ea5 | info/notas.pdf | |
| — | — | 181.231.253.69:4444 |
翻訳元: https://gbhackers.com/spear-phishing-campaign-2/
