出典:ronstik(Alamyストックフォトより)
新たな脅威キャンペーンが、企業のソーシャルメディアアカウントを口実に、巧妙なスピアフィッシングの誘いで企業を標的にしています。
Morphisecが本日発表した調査では、Noodlophileという高度な情報窃取キャンペーンをめぐる最新の動向が詳述されています。5月には、Morphisecの研究者が、攻撃者がAIツールの偽ランディングページを通じてマルウェアを拡散していることを共有しましたが、Noodlophileはある程度手法を変えてきているようです。
この最新のキャンペーンでは、さらに創造的ともいえる手法、すなわち著作権侵害申立てを通じて組織を標的にしています。
Noodlophileキャンペーン
MorphisecのShmuel Uzanがブログ記事で説明したように、Noodlophileの最新キャンペーンは「企業がソーシャルメディアに依存していることを利用し、特定のFacebookページに対する著作権侵害を主張する、非常に個別化されたスピアフィッシングメールを送信する」ものです。
Noodlophileの攻撃者は標的となる企業のFacebookページを特定し、(多くの場合Gmailアカウントから)緊急の法的脅迫を装った申立てを送ります。そこにはページIDや所有者情報など、詳細な情報が記載されており、綿密な偵察が行われていることが示唆されます。
これはすべて、標的(個々の従業員または一般的な問い合わせ/マーケティング用メール)に「著作権侵害の証拠を見る.pdf」などとラベル付けされた悪意のあるリンクをクリックさせるためです。そのリンクにはペイロードが含まれており、最終的に被害者のデバイスにNoodlophileインフォスティーラーがインストールされます。
また、Haihaisoft PDF ReaderやExcelコンバーターなど、DLLサイドローディングの脆弱性がある正規の署名済みアプリケーションも利用しています。これらの脆弱性は、被害者が開く最初のペイロードの一部として悪用されます。
「ペイロードはしばしばTinyURLリダイレクトで偽装されたDropboxリンクを通じて配信されます」とUzanは記しています。「アーカイブには、.docxファイルにリネームされたバッチスクリプトや、.pngファイルを装った自己解凍型アーカイブ(SFX)など、偽装されたアーティファクトが含まれており、正規アプリケーション内で読み込まれた悪意のあるライブラリによって実行されます。」
ブログで詳述されているさまざまなバッチスクリプトやTelegramベースのステージングを通じて、攻撃者は永続性を獲得し、インフォスティーラーをインストールします。インストールされると、インフォスティーラーはWebデータ、システムデータ、認証情報、クレジットカード情報、セキュリティ制御、ブラウザーサポートなどを収集します。
スティーラーが実行されると、Uzanは「実行後に痕跡を消す自己削除技術を用いており、検出をさらに困難にしています」と記しています。
防御側へのポイント
Morphisecのブログ記事が説明しているように、著作権侵害を主張するフィッシングキャンペーン自体は新しいものではありませんが、Noodlophileの最新キャンペーンは正規の脆弱性やTelegramベースのステージングを利用している点で際立っています。
「.docxファイルに偽装されたバッチおよびコマンドスクリプトは、前回の報告よりもさらに難読化されています。これらのスクリプトは次のステージを直接ダウンロードするのではなく、Telegramグループの説明からURLを抽出し、ペイロードの動的実行を可能にしています。最終的なスティーラーはhttps://paste[.]rs/Gc2BJのような無料プラットフォーム上にホストされており、これは検出やテイクダウンを困難にする手法です」とUzanは記しています。「この手法は、前回のキャンペーンの技術(例:Base64エンコードされたアーカイブ、certutil.exeのようなLOLBinの悪用)を基にしつつ、Telegramベースのコマンド&コントロールやインメモリ実行による回避層を追加し、ディスクベースの検出を回避しています。」
このキャンペーンは現在、米国、ヨーロッパ、バルト諸国、APAC地域の企業を標的にしていると調査では報告されています。
Noodlophileのキャンペーンがいかに複雑に見えても、すべては通常Gmailアカウントから企業宛てに送られるスピアフィッシングメールから始まることを忘れてはなりません。そのため、従業員は怪しいリンクを決してクリックせず、重要なメールがどのメールアドレスから送信されているか必ず確認するべきです。組織はまた、フィッシング攻撃を見抜くためのユーザートレーニングや、多要素認証、物理キーなどのフィッシング耐性のあるFIDO認証の導入も検討すべきです。
Morphisecのブログには、侵害の指標(IoC)も掲載されています。
Dark ReadingはNoodlophileの動機に関する追加情報をMorphisecに問い合わせましたが、記事執筆時点ではベンダーからの回答は得られていません。