ここ数週間、アフガニスタンの政府機関に所属する職員のもとに、首相府の公式布告を装った文書を含む書簡が届くようになっている。これらの通信には、パシュトー語で作成された説得力のある文書が含まれており、国章、通し番号、日付、厳格な行政用語まで備えている。しかし、この「公式らしさ」の皮膜の下には、有害な感染チェーンが潜んでおり、被害者を欺いて手動で侵害の起点を実行させるよう綿密に設計されている。
SEQRITE Labsのアナリストは、省庁および行政局を狙った拡大中のキャンペーンを追跡していると報告している。彼らのテレメトリによれば、攻撃者は財政上の指示と迫った期限を含む政府通知という形の誘い文句を用いており、切迫感を煽って文書が通常のセキュリティ精査をすり抜けるようにする策略だという。
侵入は、GitHubリンク経由で配布されるISOイメージから始まり、さらにTinyURLの短縮サービスで隠蔽されている。Afghanistan Islami Emirates.isoと名付けられたこのファイルは12月23日に初めて検知され、翌日にVirusTotal上に現れた。ISOファイルの戦術的利点は、Windowsがこれを仮想ドライブとしてマウントするため、インターネットからダウンロードしたファイルに適用される従来の制限が緩和されがちな点にある。
このイメージ内には3つの異なる成果物が存在する。1つ目はPDFの誘導ファイル—「公式」の布告そのもの。2つ目はWindowsショートカット(LNKファイル)で、起動すると疑念を和らげるためにPDFを表示しつつ、同時に次段階を呼び出す。3つ目は、img.jpgのような通常の画像に偽装された実行ファイルで、ざっと見ただけでは無害に見えるようにしている。
このショートカットは、疑似画像をC:\ProgramDataディレクトリにコピーし、その後mklinkコマンドを用いて、スタートアップフォルダ内にsearchmgr.exeという偽名でハードリンクを作成する一連の手順を開始する。これによりマルウェアは永続化を達成し、ありふれたシステムプロセスを装いながら、以後のシステム再起動時に自動的に起動する。
研究者によりFALSECUBと特定された最終ペイロードはC++で作成され、初歩的な解析回避の防御策を組み込んでいる。デバッガや「サンドボックス」の存在を環境内で確認し、検知回避のために「スリープ」状態に入る場合がある。これらのチェックを通過すると、プログラムはコマンド&コントロール(C2)サーバーへの接続を確立し、追加の指示を待機する。
このマルウェアの機能には、ユーザー名、コンピューター名、Windowsのバージョン、接続されたドライブの一覧といった基本的なシステムテレメトリの収集が含まれ、特にデスクトップおよびドキュメントフォルダを重点的に探索する。情報の持ち出しは、curlコマンドを密かに組み立てることで行われる。これらのリクエストは、「アクセスキー」と被害者データを含むカスタムHTTPヘッダーを使用し、非標準ポート上のリモート/upload/エンドポイントへファイルを送信する。実行はコンソールウィンドウが表示されないようサイレントに行われ、その後、フォレンジック上の痕跡を消すための処理も試みられる。
このキャンペーンのインフラからは、ダイナミックDNS上でホストされたドメインや複数のIPアドレスが確認されており、Cloudflareのノードや、RDPポート(3389)が露出した別ホストも含まれる。興味深いことに、配布には12月23日に作成されたばかりの新しいGitHubアカウントが用いられ、その後削除されている。分析による精査では、この活動がScribd、Pinterest、Dailymotion上のアカウント群とも関連付けられており、そこでは本物のアフガニスタンの行政・法務文書が公開されていた。短縮リンクに関連するVirusTotalのテレメトリを含む特定の指標は、初回アップロードの潜在的な発信地としてパキスタンを示唆している。
SEQRITE Labsは、彼らがNomad Leopardと名付けたこのキャンペーンは、技術的成熟度を増しつつある地域の敵対者によるものと思われると述べている。しかし、誘導文書における細部への綿密な配慮と、もっともらしい文書を厳選して揃えた点は、こうした標的型配布が継続し、アフガニスタンの国境を越えて拡大する可能性すらあることを示唆している。
翻訳元: https://meterpreter.org/nomad-leopard-rising-new-falsecub-malware-targets-afghan-ministries/
