インド所得税局を装った偽の通知が、高度なマルウェア・キャンペーンの隠れみのとして出現し、最終的にBlackmoonバンキング・トロイの木馬の展開へと至っています。この攻撃はインドの一般市民を特に標的としており、多段階のリモートアクセス機構を密かにインストールできるようにするもので、表向きはサイバー諜報作戦を目的として組織されたものとみられます。
eSentire の脅威インテリジェンスチームが提供したフォレンジックによると、この侵入は税金の滞納を主張する電子メールを通じて拡散されています。受信者には、監査関連の文書に偽装した悪意ある成果物を含むアーカイブが提示されます。埋め込まれた5つのオブジェクトのうち、ユーザーに見えるのは「Inspection Document Review.exe」と題された単一の実行ファイルのみです。このファイルが引き金となって、アーカイブ内に埋め込まれた悪意あるDLLが起動し、デバッガの有無を確認したうえで外部サーバーへ接続し、次のペイロードを取得します。
後続のコンポーネントは、ユーザーアカウント制御(UAC)の回避を実行して管理者権限を確保します。続いて正規のWindowsプロセスであるexplorer.exeに偽装し、検知を回避します。さらに実行が進むと、中国のドメインから「180.exe」と名付けられたインストーラーが取得され、その動作ロジックはAvastアンチウイルススイートの存在に応じて変化します。
悪意あるコードが稼働中のAvastインスタンスを検知した場合、感染ファイルをアンチウイルスの除外リストへ手動で追加するため、マウス操作を模した一連の動作を開始します。この手口により、防御側のアラートを回避しつつ悪意ある活動の永続化が確実になります。この段階で使用されるDLLは、専門家によりBlackmoonトロイの木馬の亜種と特定されています。Blackmoonは2015年に初めて文書化された脅威で、過去には韓国、米国、カナダの企業に対して展開された事例があります。
システムに導入される成果物の一つに、SyncFutureTecによる「Setup.exe」というプログラムがあり、これは「mysetup.exe」と呼ばれるコンポーネントを呼び出します。アナリストはこれを正規のSyncFuture TSMソフトウェア、すなわち中国で開発された正当なリモート監視・管理用の企業向けユーティリティであると特定しています。
この認可済みソフトウェアの機能を悪用することで、攻撃者は侵害されたデバイスに対する完全な支配権を獲得し、ユーザー操作の監視から収集したテレメトリの遠隔リポジトリへの流出までを可能にします。さらにマルウェアは、固有のアクセス権限を持つ専用のユーザーディレクトリを生成し、デスクトップのセキュリティ設定を再調整し、高度なログ取得およびクリーンアップ処理を開始します。
要するに、専門家はこの戦術スキームが非常に高い複雑性を特徴としていると強調しています。アンチウイルス回避技術、権限昇格、悪意あるDLLインジェクション、正規の管理ツールの武器化を統合しているのです。このような一体的な戦略は、キャンペーンの実行者が高度な技術力と標的環境に対する綿密な理解を有していることを示しています。
