CRESCENTHARVEST という名前の新しいマルウェアキャンペーンが出現し、イラン国内の継続的な地政学的不安定性を利用して、イラン抗議デモの支持者をターゲットにしています。
過去2週間、Acronis TRU チームはこのキャンペーンを綿密に監視してきました。このキャンペーンは主にイラン国民と海外の抗議デモに同情的な個人をターゲットにしています。
攻撃者は現在の政治的感情を悪用し、ソーシャルエンジニアリング戦術を組み込み、マルウェアを配布して遠隔アクセスツール(RAT)をインストールし、情報を盗み出しています。
CRESCENTHARVEST マルウェアキャンペーンは、ペルシア語のコンテンツを使用して被害者を誘き寄せ、イラン抗議デモを取り巻く政治状況を活用しています。
このソーシャルエンジニアリング戦術は、抗議デモからのビデオと画像を含む.RAR アーカイブを配布することを伴い、抗議デモの最新情報を提供していると言い張るگزارش.docx(report.docx)という名前の悪意のあるドキュメントが含まれています。
ただし、アーカイブに埋め込まれているのは、無害なメディアコンテンツに偽装した2つの悪意のある LNK(Windows ショートカット)ファイルです。これらのファイルを開くと、マルウェアを実行するPowerShell スクリプトが配備されます。
スクリプトは悪意のあるペイロードを抽出してロードし、感染したシステムに永続性を作成します。この永続性は、被害者のシステムがネットワークに接続するときにトリガーするように独自に設計されており、再起動後もマルウェアが動作することを保証します。
マルウェアは DLL サイドローディングを使用し、software_reporter_tool.exe(Google のクリーンアップユーティリティ)などの信頼できる実行可能ファイルを活用して、検出を回避し、悪意のあるダイナミックリンクライブラリ(DLL)をロードします。
実行されると、マルウェアは RAT および情報窃盗ツールとして機能します。攻撃の最初の段階は、urtcbased140d_d.dll インプラントを使用することを伴い、これはブラウザ暗号化キーを復号化します。特に Google Chrome をターゲットにしています。
ファイルが特定のサイズに達すると、C2 サーバーにアップロードされます。この機能は特に危険であり、攻撃者が機密ユーザーアクティビティを追跡し、被害者のプライバシーとセキュリティをさらに侵害することを可能にします。
CRESCENTHARVEST は、サイバー犯罪者がどのように地政学的緊張を利用してスパイ活動を推し進めるかを、強く思い起こさせるものです。
このキャンペーンは、サイバー攻撃の進化する性質を強調しており、脅威アクターは現在の出来事と政治運動をますます使用して洗練された攻撃を仕掛けています。
マルウェアのソーシャルエンジニアリング、DLL サイドローディング、および高度な流出技術の使用は、その高い洗練度を示しています。
このキャンペーンはイラン抗議デモを支持するペルシア語話者の個人をターゲットにしている可能性があるため、警戒を続けることの重要性を強調しています。
政治的に敏感な事柄に関連付けられている組織および個人は、未承諾のファイルに対して疑いを持ち、ハードウェアセキュリティキーを使用し、この増大する脅威から身を守るために強力なセキュリティ対策を実装する必要があります。
CRESCENTHARVEST マルウェアはAcronis EDR/XDR システムによって検出およびブロックされています。ただし、攻撃者は常に技術を洗練させているため、この脅威は脆弱な地域の個人および組織にとって懸念事項のままです。
翻訳元: https://cyberpress.org/crescentharvest-exploits-protest-for-rat/