TokyoBlackHatNews

csoonline.com 5分で読了

Phorpiex関連のランサムウェアキャンペーンでWindowsショートカットが武器化

研究者らは、悪意のあるLNKファイルを用いて、完全にオフラインで動作するよう設計されたGlobal Groupランサムウェアを展開する、Phorpiex配布のフィッシングキャンペーンを明らかにした。

Forcepoint X-Labsの研究者は、武器化されたWindowsショートカットファイルを使用して被害者システム全体にGlobal Groupランサムウェアを展開する、Phorpiexボットネットに支援された大規模なフィッシングキャンペーンを特定した。

2024年後半に観測され、2026年まで継続しているこのキャンペーンは、「Your Document」という件名の一般的なメール誘導文句を利用し、受信者をだまして悪意のあるLNK添付ファイルを開かせる。

「ソーシャルエンジニアリング、ステルス実行、そしてLiving-off-the-Land(LotL)手法を組み合わせることで、(.lnk)ファイルは疑いを招くことなく第2段階のペイロードを密かに取得して起動する」と、Forcepointの研究者はブログ投稿で述べた。

研究者によれば、外部のコマンド&コントロール(C2)基盤に依存する多くの現代的なランサムウェア運用とは異なり、Global Groupのペイロードは配信後にローカルで実行されるため、従来のネットワーク中心のセキュリティ制御による検知と対応が難しくなる。

武器化されたLNKファイル

感染チェーンは、ユーザーが「Document.doc.lnk」のような二重拡張子のショートカットファイルを開くことから始まる。Windowsは既定でファイル拡張子を非表示にするため、このファイルはユーザーには正規の文書のように見える。さらに疑念を減らすため、ショートカットのアイコンもMicrosoft Wordファイルに似せてカスタマイズされている。

実行されると、.lnkファイルはcms.exeやPowerShellなどのWindows組み込みユーティリティを起動し、次段階のペイロードを取得して実行する。エクスプロイトを伴わないため、この手法により攻撃者は、悪意のある文書や実行形式の添付ファイルに焦点を当てたセキュリティ制御を回避できる。

Forcepointは、ショートカットに埋め込まれたコマンドが強く難読化されており、最終的に攻撃者が管理するインフラからGlobal Groupランサムウェアのペイロードをダウンロードするよう解決されると指摘した。取得されると、ランサムウェアは直ちに実行される。

配布レイヤーとしてのPhorpiex

Forcepointは、このキャンペーンにおけるメール配布を、Trikとしても知られるPhorpiexボットネットによるものだとした。Phorpiexは10年以上活動しており、大規模にスパムを配信できる世界的に広いフットプリントを維持していることで知られる。このキャンペーンでは、新たに登録したインフラに依存するのではなく、ボットネット内の感染システムがフィッシングメールを直接送信するために利用されている。

ボットネットの役割は配信に限定されているように見える。被害者が悪意のある添付ファイルを実行すると、Phorpiex自体はその後の侵入チェーンにこれ以上関与しない。

「このキャンペーンは、Phorpiexのような長年存在するマルウェアファミリーが、単純だが信頼性の高いフィッシング手法と組み合わさることで、依然として非常に有効であることを示している」と研究者らは述べた。「Windowsショートカットファイルのような馴染みのあるファイル種別を悪用することで、攻撃者は最小限の摩擦で初期アクセスを獲得でき、Global Groupランサムウェアのような高インパクトなペイロードへ円滑に移行できる。」

Global Groupはオフラインで動作

チェーンの最終ペイロードであるGlobal Groupランサムウェアは、ForcepointによりMamonaランサムウェアファミリーの後継として特定された。このランサムウェアは完全にオフラインで動作する。暗号化キーをローカルで生成し、ファイル暗号化を完了するためにリモートサーバーとの通信を必要としない。

研究者によれば、この設計はネットワークベースの検知機会を大幅に制限する。「身代金要求メモに記載された主張にもかかわらず、GLOBAL GROUPはデータの持ち出しを一切行わず、オフラインまたはエアギャップ環境でも完全に実行可能だ」と彼らは述べた。「このオフライン専用の設計は、監視の取り組みが主に不審または異常なトラフィックの観測に依存しているネットワークにおいて、検知を回避する可能性も高める。」

実行中、Global Groupは「ChaCha20-Poly1305」アルゴリズムを用いてユーザーファイルを暗号化し、新しいファイル拡張子を付加する。また、支払い手順を得るために匿名化されたチャネルを通じて攻撃者に連絡するよう被害者に指示する身代金要求メモを投下する。研究者らは検知の取り組みを支援するため、インジケーターの一覧を共有した。「静かで自己完結型のランサムウェアへのこの傾向は、ネットワーク活動だけでなく、エンドポイントの振る舞い監視を優先する重要性を浮き彫りにしている」と彼らは述べた。

翻訳元: https://www.csoonline.com/article/4130019/windows-shortcut-weaponized-in-phorpiex-linked-ransomware-campaign.html

ソース: csoonline.com
#ChaCha20-Poly1305 #GLOBAL GROUPランサムウェア #Living-off-the-Land(LOTL) #Phorpiex(Trik)ボットネット #PowerShell悪用 #Windowsショートカット(LNK) #オフライン暗号化 #フィッシングメール #ランサムウェア #拡張子偽装(Document.doc.lnk)

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く