- 高度なLinkedInフィッシングが偽の求人広告を使って経営幹部を標的に
- 攻撃ではDLLサイドローディングとPythonツールを用いてリモートアクセス型トロイの木馬をインストール
- ReliaQuestは、フィッシングがメールにとどまらず、見落とされがちなソーシャルメディアプラットフォームを悪用していると警告
企業の経営幹部やIT管理者が、メール受信箱ではなくLinkedIn上で行われる非常に高度なフィッシング攻撃の標的になっています。
セキュリティ研究者のReliaQuestは、正規のPythonペネトレーションテスト用プロジェクト、DLLサイドローディング、そして偽の求人広告を組み合わせ、「価値の高い標的」にリモートアクセス型トロイの木馬(RAT)を感染させる新たな攻撃を確認したと述べました。
ReliaQuestの報告によると、被害者は慎重に選定され、ビジネス案件や求人への招待として接触されます。LinkedInのメッセージにはダウンロードリンクが含まれており、クリックするとWinRARの自己解凍アーカイブ(SFX)がダウンロードされます。ファイル名は通常、製品ロードマップやプロジェクト計画など、被害者の役割に合わせて作られています。
RATの展開
被害者がアーカイブを開くと、複数のファイルが同じフォルダに自動的に展開され、パッケージが正規のものに見えるようになっています。その後、被害者は通常の文書を開いていると思い込み、アーカイブに含まれているPDFリーダーを起動します。
このリーダーは、同じくアーカイブに含まれていた悪意のあるDLLを読み込みます。これはDLLサイドローディングとして知られる手法で、直ちにセキュリティ警告を発することなく攻撃者のコードを実行すると説明されています。
悪意のあるDLLは永続化のためにWindowsレジストリの「Run」キーを追加し、その後、アーカイブに含まれていたポータブル版のPythonインタープリタを実行します。このツールは、Base64でエンコードされたオープンソースのハッキングツールをメモリ上で直接実行します。
その結果、マルウェアはコマンド&コントロール(C2)サーバーとの通信を開始します。これはリモートアクセス型トロイの木馬に典型的な挙動です。
ReliaQuestは「このキャンペーンは、フィッシングがメール受信箱に限定されないことを思い起こさせます。フィッシング攻撃は、ソーシャルメディア、検索エンジン、メッセージングアプリといった代替チャネルでも発生しており、多くの組織が依然としてセキュリティ戦略の中で見落としているプラットフォームです」と述べています。
「ソーシャルメディアプラットフォームは、特に社用デバイスで頻繁にアクセスされるものほど、経営幹部やIT管理者といった価値の高い標的に攻撃者が直接アクセスできるため、サイバー犯罪者にとって非常に有用です。」
