多段階フィッシングキャンペーンがランサムウェアでロシアのユーザーを標的に
攻撃の概要
新たな多段階フィッシングキャンペーンが出現し、ロシアのユーザーを特に標的として、ランサムウェアおよびAmnesia RATとして知られるリモートアクセス型トロイの木馬(RAT)を用いています。FortinetのFortiGuard Labsのセキュリティ研究者は、この悪意ある作戦で用いられた手法と戦略を強調する詳細な分析を公開しました。
初期の攻撃ベクター
攻撃は、無害に見える業務関連の文書を届けるソーシャルエンジニアリング手法から始まります。Fortinetの研究者であるCara Linによると、これらの文書は日常的で無害に見えるよう設計されています。併せてスクリプトが展開され、ユーザーの注意をそらすことで、背後で悪意ある活動が気付かれないまま進行するようにしています。
キャンペーンの特徴
このフィッシングキャンペーンを際立たせているのは、異なるペイロードを配布するために複数のパブリッククラウドサービスを利用している点です。GitHubは主にスクリプトのホスティングに使用され、バイナリのペイロードはDropboxに保存されています。この分離によりテイクダウンの取り組みが複雑化し、キャンペーンの耐性が大幅に高まります。
この攻撃のもう一つの注目すべき点は、DefendNotと呼ばれるツールの悪用です。es3n1nとして知られるセキュリティ研究者が公開したこのユーティリティは、ホストシステムに別のアンチウイルスプログラムがすでにインストールされているとMicrosoft Defenderに誤認させ、実質的に無効化します。
感染の仕組み
攻撃を開始するために、このキャンペーンはデコイ文書と悪意あるWindowsショートカット(LNK)ファイルを含む圧縮アーカイブを利用します。LNKファイルには紛らわしい二重拡張子(例:「Задание_для_бухгалтера_02отдела.txt.lnk」)が付けられており、単なるテキストファイルだとユーザーに信じ込ませることを狙っています。
実行されると、LNKファイルはPowerShellコマンドを起動し、GitHubリポジトリにホストされた後続のPowerShellスクリプトを取得します。このスクリプトは第1段階のローダーとして機能し、標的システム上に足場を確立し、攻撃の痕跡を隠蔽し、追加段階への制御の流れを促進します。
ステルス性と制御の維持
PowerShellスクリプトはまずコンソールウィンドウを隠し、活動の目に見える兆候を排除します。次に、被害者のローカルアプリケーションデータに保存されるデコイ文書を生成します。この文書がユーザーに表示されるよう開かれると、スクリプトはTelegram Bot APIを介して攻撃者に通知を送り、初期段階が正常に実行されたことを確認します。
遅延を挟んだ後、PowerShellスクリプトは高度に難読化されたVisual Basic Script(VBS)を起動し、次段階のペイロードをメモリ上で直接組み立てます。この方法により、ディスク上にアーティファクトを作成しないことで検知を回避できます。
セキュリティ対策の無効化
稼働を開始すると、最終段階のスクリプトはエンドポイントのセキュリティ機構を無効化することを目的としたさまざまな行動を実行します。これらの行動には次が含まれます。
- 特定のシステムディレクトリをスキャンから保護するため、Microsoft Defenderの除外設定を構成する。
- PowerShellスクリプトを用いて追加のDefenderコンポーネントを無効化する。
- Windowsセキュリティセンターに偽のアンチウイルス製品を登録し、Defenderに自己無効化を強制する。
- 専用モジュールによって定期的に取得されるスクリーンショットを通じて、標的システムの偵察を行う。
さらに、スクリプトはレジストリ設定を変更して管理ツールを無効化し、ファイル関連付けを乗っ取り、被害者にTelegram経由で脅威アクターと連絡するよう促すプロンプトを作成します。
ペイロード:Amnesia RATとランサムウェア
攻撃中に明らかになった主要なペイロードの一つがAmnesia RATで、広範なデータ窃取と遠隔操作が可能です。Webブラウザ、暗号資産ウォレット、DiscordやTelegramなどのコミュニケーションプラットフォームに保存された情報に加え、システム自体のメタデータも標的にします。
Amnesia RATは不正アクセスや認証情報の窃取、サイバー詐欺を助長し、リアルタイムのデータ収集を可能にするため、攻撃者にとって強力なツールとなります。
加えて、Hakuna Matataファミリーに由来するランサムウェア亜種も展開されます。このランサムウェアは感染システム上のさまざまなファイル種類を暗号化するよう設計されている一方で、クリップボードの内容を能動的に監視・改変し、暗号資産取引を攻撃者が管理するウォレットへ誘導します。
ユーザー向けの防御戦略
Windows Security APIの悪用に対抗するため、Microsoftはユーザーに対し、Defender設定への不正な変更を防ぐTamper Protection(改ざん防止)を有効にするよう助言しています。さらに、異常なAPI呼び出しやDefenderサービスの変更がないか警戒を続けるべきです。
継続する脅威の状況
現在の脅威環境には、UNG0902やPaper Werewolfといったアクターによる、ロシアの企業部門を標的とした継続的なキャンペーンも含まれます。前者は従業員インセンティブに関連するデコイ文書を用いたスピアフィッシング手法を採用し、後者はAI生成の手法を利用して悪意あるソフトウェアを配布しています。
これらの動向は、今日のデジタル環境におけるサイバー脅威の持続性と進化を浮き彫りにしています。機密情報を保護するには、最新情報を把握し、効果的なセキュリティ対策を講じることが重要です。
