TokyoBlackHatNews

hackread.com 4分で読了

ハッカーがLinkedInのDMとPDFツールを悪用してトロイの木馬を展開

ReliaQuest Threat Researchは、LinkedIn上で専門職をだまして悪意あるファイルをダウンロードさせる新たなフィッシングキャンペーンを特定しました。DLLサイドローディングを用い、攻撃者は正規のPDFリーダーやPythonスクリプトの中にウイルスを隠し、セキュリティを回避します。

ReliaQuestのサイバーセキュリティ研究者は、ハッカーが企業ネットワークに侵入する手口に変化が起きていることを発見しました。研究者Emily Jiaによるレポートでは、攻撃者がメールフィルターを回避し、LinkedIn のプライベートメッセージへ直接向かい、価値の高い従業員をだますようになっていることが明らかになりました。

トロイの木馬を展開するために信頼を築く

ReliaQuest Threat Research部門の調査によると、この攻撃はコンピュータウイルスから始まるのではなく、会話から始まります。ハッカーは高い役職に就く人々と時間をかけてやり取りし、信頼感を醸成します。標的が安心したところで、攻撃者は「悪意あるWinRARの自己解凍アーカイブをダウンロードさせるよう欺く。これは基本的に自動で開くデジタルフォルダーだ」と、研究者はブログ投稿で説明しています。

ご存じのとおり、LinkedInのようなプロフェッショナル向けサイト経由で送られてきたファイルを、多くの人は疑いません。詐欺をさらにもっともらしくするため、ハッカーは「Project_Execution_Plan.exe」や「Upcoming_Products.pdf」のような名前を使い、日常的な業務文書に見せかけます。

しかし、これは単一のファイルではなく、実際に動作するPDFリーダー、隠されたDLL(Dynamic Link Library)ファイル、ポータブル版Python、そしてすべてを正規に見せるための囮のRARファイルを含む、4つの異なるファイルのバンドルです。

研究者は、攻撃者がDLLサイドローディングと呼ばれる手法を使っていることを突き止めました。これは、正規のプログラムに同じフォルダー内に隠された悪意あるファイルを読み込ませるトリックです。

このケースでは、PDFリーダーがハッカーのコードを実行し、それがPythonインタープリターを起動します。Pythonは開発者が使用する正規のツールであるため、セキュリティソフトをすり抜けることが少なくありません。研究者は、このキャンペーンが「正規のオープンソースPythonペネトレーションテスト用スクリプト」を用いてリモートアクセス型トロイの木馬(RAT)をインストールし、ハッカーにデータ窃取やユーザー画面の監視を行うための秘密の手段を与えると指摘しました。

サイドローディング攻撃のパターン

このLinkedInキャンペーンは、ハッカーが実在するソフトウェアを改変・悪用する、より広範な傾向の一部です。つい先週、Hackread.comは同様の脅威を2件報じました。1つ目は、人気オフィスアプリPDF24の改変版を使ってFortune 100企業が標的にされた後、Resecurityが発見したPDFSIDERバックドアです。ほぼ同時期に、Acronisの研究者は、米国とベネズエラの緊張に関するニュースを利用して政府系グループを標的にし、音楽プレーヤーの中に隠されたLOTUSLITEマルウェアを展開するハッカーを発見しました。

人的要素

これらの攻撃が成功するのは、派手で複雑なコードを必要とせず、人間の好奇心と、企業が容易にブロックできないオープンソースツールの利用に依存しているためです。ソーシャルメディアプラットフォームには、私たちのメール受信箱を守るような強力なセキュリティフィルターが現時点で備わっておらず、多くの企業にとって盲点となっています。

安全を保つために、専門家は常に慎重であるべきだと提案しています。LinkedInのプロフィールがプロフェッショナルに見えても、オンラインでしか会ったことのない相手からのファイルは決してダウンロードしないでください。

「ここでの革新は技術的な実行ではなく、ペイロードを届けるために用いられたソーシャルエンジニアリングのベクトルにある。一般的なメールフィッシングに頼るのではなく、これらの攻撃者はLinkedIn上のダイレクトメッセージを通じて価値の高い標的と信頼関係を築く」と、SectigoのシニアフェローであるJason Sorokoは述べました。

「このパーソナライズされたアプローチは、プラットフォームの職業的文脈を悪用して被害者の警戒心を下げ、武器化されたファイルをダウンロードするよう説得する。キャンペーンは、標準的な技術的回避と、職業上の関係性を高度に標的化して操作する手口を組み合わせることで成功している」とSorokoは説明しました。

翻訳元: https://hackread.com/hackers-linkedin-dms-pdf-tools-trojan/

ソース: hackread.com
#DLLサイドローディング #LinkedInフィッシング #PDFリーダー悪用 #Pythonスクリプト悪用 #WinRAR自己解凍アーカイブ #ソーシャルエンジニアリング #ダイレクトメッセージ詐欺 #マルウェア配布キャンペーン #リモートアクセストロイの木馬(RAT) #企業ネットワーク侵入

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃