アルゼンチンの司法部門を標的とし、ステルス性の高いRustベースのリモートアクセス型トロイの木馬(RAT)を展開するために設計された多段階の感染チェーンを用いる高度なスピアフィッシング・キャンペーンが確認された。
「Operation Covert Access」と名付けられたこのキャンペーンは、本物らしく見えるアルゼンチン連邦裁判所の判決文をソーシャルエンジニアリングの囮として活用することで、高度な運用上の洗練性を示している。
攻撃者は司法関連の通信に置かれる本質的な信頼を悪用し、初期侵入を獲得して高価値な組織環境内で永続的な遠隔制御を確立する。
このキャンペーンは、悪意のあるZIPアーカイブを含む標的型のスピアフィッシングメールから始まる。各アーカイブには、PDFを装った武器化されたWindowsショートカットファイル(.LNK)、バッチベースのローダースクリプト、そして正規のように見える司法文書という3つの重要な要素が含まれている。
受信者がショートカットファイルを操作すると、疑念を避けるために囮文書を表示しつつ、実行チェーンが静かに起動する。
LNKファイルは、ポリシーのバイパスと非表示ウィンドウモードを伴うPowerShell実行を用いて第2段階のバッチスクリプトを起動する。この手法は、目に見えるシステムのプロンプトやウィンドウを表示せずに動作することで検知を回避する。
その後、バッチスクリプトはGitHubでホストされたリポジトリに接続し、リモートアクセス型トロイの木馬の最終ペイロードを取得して、正規のMicrosoft Edgeプロセスを模倣した偽装ファイル名で実行する。
このキャンペーンの有効性は、ソーシャルエンジニアリングに大きく依存している。囮PDFは、アルゼンチンのPoder Judicial de la Nación(国家司法権)による公式決議を装い、首都連邦区のTribunal Oral en lo Criminal y Correccional N° 2を明示的に参照している。
文書は、予防拘禁および条件付き釈放の決定に対する司法審査について述べ、正式な法務スペイン語、真正な事件番号、司法署名、ならびにアルゼンチン刑事訴訟法に基づく適切な手続き用語を用いている。
このレベルの真正性は、司法関係者、法律実務家、政府職員が文書を信頼して開封する可能性を大幅に高める。
攻撃者は、場当たり的なフィッシング手法を用いるのではなく、日常的な法務ワークフローに合致する業界特化の内容を意図的に選択した。
この標的設定の精度は、広範な偵察と、アルゼンチンの司法制度に侵入するための計算された長期戦略を示唆している。
展開されたRATは、仮想マシン検出、サンドボックス回避、デバッガ識別など、広範な解析妨害機能を備えている。
実行されると、マルウェアは128種類の環境チェックを実施し、仮想化の兆候、解析ツール、フォレンジックソフトウェアをスキャンする。疑わしい痕跡が検出された場合、捕捉を避けるためにマルウェアは直ちに終了する。
このRATは、IPv4とIPv6の両方をサポートするフォールバック機構を備えたコマンド&コントロール通信を確立する。主要C2サーバーは181.231.253.69:4444としてハードコードされており、ネットワーク設定の解析に失敗した場合でも永続的な接続性を確保する。
コマンドはBase64でエンコードされて到着し、ファイル窃取、データ暗号化、権限昇格、永続化の導入など、特化モジュールの動的実行を可能にする。
このマルウェアは、PERSIST(インストール)、PERSIST_REMOVE(クリーンアップ)、BEACON(ハートビート)、DOWNLOAD(持ち出し)、UPLOAD(ペイロード配布)、HARVEST(認証情報窃取)、ENCRYPT/DECRYPT(ランサムウェア)、ELEVATE(権限昇格)をサポートするモジュール式のコマンドセットを掲げている。
このアーキテクチャにより、オペレーターは削除機能によるクリーンな撤収戦略を維持しつつ、侵害後の柔軟な能力を保持できる。
Operation Covert Accessは、高価値な組織環境に対する重大なセキュリティリスクを浮き彫りにしている。
アルゼンチンの司法部門を標的とするこのキャンペーンの焦点は、特定の地政学的関心を伴う国家主体の関与、または組織化されたサイバー犯罪活動のいずれかを示唆している
同様の分野に属する組織は、メールフィルタリングの強化、LNKファイルの実行制限、そして多段階実行チェーンを特定するための振る舞い検知システムの導入を実施すべきである。
翻訳元: https://cyberpress.org/argentine-federal-court-spear-phishing-covert-rat/