TokyoBlackHatNews

esecurityplanet.com 5分で読了

LinkedInのフィッシングがDLLサイドローディングを悪用し、永続的なアクセスを確立

脅威アクターは、メールだけでなくLinkedInのメッセージも使って、従業員をだましてマルウェアを実行させるケースが増えています。 

ReliaQuestの研究者は最近、ソーシャルメディアを介したフィッシングがいかに迅速に完全なエンドポイント侵害へと発展し得るかを示すキャンペーンを分析しました。

この攻撃は、LinkedInのプライベートメッセージで配布される武器化されたダウンロードを使用し、その後、悪意ある実行を正規ソフトウェアに紛れ込ませて、気付かれにくい形で永続性を確立します。

このキャンペーンは「…攻撃者が検知を回避し、侵害したシステムに対する永続的な制御を維持しながら、最小限の労力で作戦を拡大できるようにする」と、研究者は述べています

LinkedInフィッシング攻撃の仕組み

研究者は、このキャンペーンが、標的を悪意あるWinRAR自己解凍アーカイブ(SFX)のダウンロードへ誘導するLinkedInのフィッシングメッセージから始まることを確認しました。 

実行される可能性を高めるため、攻撃者は職務に関連するように見せかける役割別の名称(製品ドキュメント、プロジェクト計画、または企業の業務フローで日常的に見えるPDFテーマの誘導素材など)を用いて、ファイルを業務関連に見せます。 

開くと、このアーカイブは複数の連携したコンポーネントをデバイス上に展開します。 

これには、正規のPDFリーダーアプリケーション、通常のプログラム依存関係に偽装した悪意あるDLL、ポータブル版Pythonインタープリタ、そしてフォルダ内容を無害に見せるためのデコイRARファイルが含まれます。

このキャンペーンの主要な実行トリックはDLLサイドローディングで、信頼されたアプリケーションと同じディレクトリに悪意あるDLLを配置することで、標準的なWindowsの挙動を悪用します。 

被害者が正規のPDFリーダーを起動すると、アプリケーションは必要なライブラリをまずローカルから読み込むため、攻撃者のDLLが正規に見えるプロセス内で実行されます。

これは、信頼されたプロセス内に悪意あるコードを隠すことで機能し、検知を低減し、調査を困難にします。

DLLが実行された後、ReliaQuestは、ポータブル版Pythonインタープリタをインストールし、ログインのたびにPythonが自動実行されるようレジストリのRunキーを作成することで永続性を確立していることを観測しました。 

そこからPythonは、Base64でエンコードされたオープンソースのシェルコード実行ツールを起動し、それがデコードされてメモリ上で直接実行されます。 

研究者はまた、RAT型の活動と整合するコマンド&コントロール(C2)挙動も報告しており、最終ペイロードが永続的なアクセスの提供、データ窃取の支援、環境内でのラテラルムーブメントを可能にするよう設計されていることを示唆しています。

ソーシャルメディア起点のフィッシングに対抗するには、受信箱の保護だけでは不十分です。 

これらのキャンペーンは、信頼されたプラットフォーム、正規ツール、そしてステルス性の高い実行手法を組み合わせるため、組織にはユーザー行動とエンドポイント可視性の両方に対応する多層的な統制が必要です。

  • 従業員を教育する:ソーシャルメディアのDMをメールと同様に扱い、予期しないファイル、リンク、または業務関連の添付ファイルは、ダウンロードや開封の前に検証するよう徹底します。
  • ダウンロードおよび自己解凍アーカイブ(WinRAR SFXを含む)の実行を制限する:アプリケーション制御と、ユーザーが書き込み可能なフォルダからの実行をブロックするポリシーを用います。
  • Pythonを承認済みユーザーに限定し、ポータブル版インタープリタ、Base64エンコードされたスクリプト実行、その他の異常なメモリ内挙動を監視します。
  • 非標準またはユーザー管理ディレクトリから信頼済みアプリが予期しないDLLを読み込む際にアラートを出し、DLLサイドローディングを検知・調査する
  • リスクの高い実行経路を減らし、インターネットからダウンロードされたファイルに対する保護を追加するハードニング統制により、エンドポイントセキュリティを強化する
  • 報告と対応速度を向上させる:不審なソーシャルメッセージを簡単に報告できるようにし、アラートをトリアージのためSOCへ直接ルーティングします。
  • 定期的にインシデント対応計画シミュレーションでテストし、封じ込め手順、エスカレーション経路、復旧時間の期待値を検証します。

これらの防御策を実装することで、ソーシャルメディアベースの攻撃を成功させることはより困難になります。

ソーシャルプラットフォームが日々の業務ワークフローにより深く組み込まれるにつれ、攻撃者はそれらが提供する信頼とアクセスを引き続き悪用するでしょう。 

このリスクは、メッセージングチャネルが、組織がメールを中心に構築してきた可視性や統制を迂回する場合に増大します。

このようなキャンペーンは、攻撃者が信頼されたツールや正規アプリケーションを悪用すると、日常的なダウンロードがいかに容易にステルスな永続化、リモートアクセス、そしてより広範な侵害へと発展し得るかを示しています。 

こうした変化により、どのチャネルやユーザーも本質的に安全ではないと想定するゼロトラスト・ソリューションへ移行する組織が増えています。 

翻訳元: https://www.esecurityplanet.com/threats/linkedin-phishing-abuses-dll-sideloading-for-persistent-access/

ソース: esecurityplanet.com
#Base64エンコード #DLLサイドローディング #LinkedInフィッシング #RAT(リモートアクセス型トロイの木馬) #WinRAR SFX #ゼロトラスト #ソーシャルメディア詐欺 #ポータブルPython #マルウェア配布 #永続化(Persistence)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布