TokyoBlackHatNews

gbhackers.com 5分で読了

SyncFutureキャンペーン、企業向けセキュリティツールを悪用してマルウェアを展開

所得税局を装ったフィッシングメールを通じてインド在住者を標的にする、高度で多段階のスパイ活動キャンペーン。

「SyncFuture Espionage Campaign(SyncFutureスパイ活動キャンペーン)」として追跡されているこの攻撃チェーンは、最終ペイロードとして正規の企業向けセキュリティソフトウェアを武器化しており、脅威アクターが信頼された商用ツールを転用して被害者システムへの永続的かつ検知困難なアクセスを確立する手口を示している。​

このキャンペーンは、税金の罰金通知を装った標的型フィッシングメールから始まり、URL短縮サービスを用いて被害者を攻撃者のインフラ上でホストされた悪意あるアーカイブへリダイレクトする。

初期感染では、DLLサイドローディングを利用する。これは、正規で署名済みのMicrosoftアプリケーションが悪意あるペイロードを読み込み、検知を回避する手法である。

第1段階のローダーには、プロセス環境ブロック(PEB)の操作、APIフック検知、タイミングに基づくサンドボックス回避メカニズムなど、高度なアンチデバッグチェックが組み込まれている。​

これらの防御を通過すると、マルウェアはC2(コマンド&コントロール)サーバーと通信を確立し、パックされたシェルコードをダウンロードする。

 eSentire Threat Response Unit(TRU) は、長期的なスパイ活動を目的とする可能性が高い、高度で多段階のバックドアを展開する進行中のキャンペーンを特定した。

第2段階では二方向の攻撃を実行する。COMベースの昇格手法を用いてWindowsユーザーアカウント制御(UAC)をバイパスし、さらにプロセスのプロパティを改変して正規のWindows explorer.exeアプリケーションになりすますことで、エンドポイント監視ツールから効果的に隠蔽する。​

このキャンペーンの際立った特徴は、Avast Free Antivirusを標的にした回避である。Avastが検出されると、マルウェアはBlackmoonaバンキングトロイの亜種を展開し、自動マウスシミュレーションを用いてAvastのGUIを操作し、悪意あるファイルをアンチウイルスの除外リストに追加する。

このハンズオフの自動化は、攻撃者の技術的高度さとセキュリティソフトウェアのインターフェースに対する理解を示している。​

感染は、その後の段階でカスタムのバッチスクリプトと、セーフモード再起動後も生存するよう設定されたWindowsサービスを介して永続的アクセスを確立する。

しかし最終ペイロードこそが、このキャンペーンを特異なものにしている。一般的なバックドアではなく、脅威アクターは中国の南京中科華賽科技有限公司(Nanjing Zhongke Huasai Technology Co., Ltd.)が開発した商用データセキュリティ製品であるSyncFuture TSM(Terminal Security Management System)を展開する。​

ドロップされたファイルの分析から、攻撃者が運用上のセキュリティに細心の注意を払っていることが明らかになった。複数の実行ファイルが2019~2024年にわたる有効なコード署名証明書を保持しており、正規のソフトウェア配布チャネルの悪用が示唆される。

Image
攻撃フロー(出典:eSentire)。

SyncFuture TSMは、リモート監視および管理機能を備えた正規の企業向けソリューションとして販売されている。

データ窃取とラテラルムーブメント

しかしこのキャンペーンでは、オールインワンのスパイ活動フレームワークとして機能する。展開されたシステムには、透過的なデータ暗号化機能、ファイル操作やWebサイト訪問を記録する広範な監視機能、画面録画機能、そしてオペレーターに完全なデスクトップアクセスを付与するリモート制御メカニズムが含まれる。

MpGear.dllから、脅威アクターが専用ツールを用いて正規のMicrosoftバイナリのデジタル署名をMpGear.dllに複製した可能性が高いことが判明した。

Image
Microsoft Corporationの無効なデジタル署名を持つMpGear.dll(出典:eSentire)。

組織は、同様のキャンペーンに対抗するため、EDRの導入、フィッシングに焦点を当てたセキュリティ意識向上トレーニング、ならびに未承認のサードパーティ製ソフトウェアを禁止する厳格なポリシーを優先すべきである。

企業向けセキュリティソフトウェアをスパイ活動ツールへと変貌させるこの手口は、短期的な金銭的利益ではなく長期監視を目的として設計された多段階侵入の到達点を示している。​

Image
 展開されたステージ2実行ファイルを示すCyberChefの出力(出典:eSentire)。

XOR復号の結果得られるデータは最終的な実行ファイルではなく、RtlDecompressBuffer APIを使用して展開される圧縮データブロブである。

「Nanjing Yangtu Information Technology Co., Ltd.」によって署名されたカーネルモードドライバーは、システムレベルのアクセスとの深い統合を示している。

補助的なバッチスクリプトは、システムのアクセス制御リスト(ACL)を操作してセキュリティを弱体化させ、未署名ドライバーを読み込むためにWindowsテストモードを有効化し、マルウェア運用を継続するために昇格権限を持つディレクトリを作成する。​

このキャンペーンは、国家支援活動と整合する高度持続的脅威(APT)の特徴を示している。

正規の企業向けソフトウェアを悪用し、GUI操作の自動化によってアンチウイルス検知を回避し、多層的な永続化メカニズムを確立することで、脅威アクターは持続的なスパイ活動が可能な侵入フレームワークを作り上げた。

翻訳元: https://gbhackers.com/syncfuture-campaign/

ソース: gbhackers.com
#Avast回避 #C2(コマンド&コントロール) #DLLサイドローディング #EDR #SyncFuture #UACバイパス #サイバー諜報 #フィッシング攻撃 #多段階マルウェア #正規ソフト悪用(LoL)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚